ApostropheCMS is an open-source content management framework. Voor versie 3.5.3 van `@apostrophecms/import-export`, De `extract()` functie in `gzip.js` construeert bestandsschrijfpaden met `fs.createWriteStream(path.join(exportPath, header.name))`. `path.join()` lost traversal segmenten zoals `../` niet op en sanitiseert deze niet. Het concateneert ze zoals ze zijn, wat betekent dat een tar entry met de naam `../../evil.js` resulteert in een pad buiten de bedoelde extractiedirectory. Er wordt geen canonical-path check uitgevoerd be

De Zip Slip kwetsbaarheid in ApostropheCMS stelt een aanvaller in staat om willekeurige bestanden op het systeem te schrijven. Dit kan worden bereikt door een kwaadaardig geëxporteerd bestand te uploaden en te importeren. De aanvaller kan vervolgens bestanden buiten de beoogde extractiedirectory plaatsen, zoals configuratiebestanden, systeemscripts of zelfs uitvoerbare bestanden. De impact is aanzienlijk, aangezien een succesvolle exploit kan leiden tot volledige controle over het systeem, data-exfiltratie, of denial-of-service. Dit is vergelijkbaar met andere Zip Slip kwetsbaarheden waarbij de extractie van een gecomprimeerd archief niet correct wordt gevalideerd, waardoor een aanvaller padtraversal kan gebruiken om bestanden buiten de beoogde directory te schrijven.

ApostropheCMS installations using @apostrophecms/import-export versions prior to 3.5.3 are at risk. This includes developers and system administrators who manage ApostropheCMS deployments, particularly those who allow users to upload files via the import-export functionality. Shared hosting environments running ApostropheCMS are also at increased risk, as a compromised user account could potentially exploit this vulnerability to gain access to the entire server.

• nodejs / server:

find /path/to/node_modules/@apostrophecms/import-export/gzip.js -exec grep -i 'path.join(exportPath, header.name)' {}

• linux / server:

journalctl -f -u node | grep -i "extract()"

• generic web:

curl -I http://your-apostrophe-site.com/import-export/upload.php?file=../../evil.txt

1. 2026-03-18Disclosure

   disclosure

2. 2026-03-18Patch

   patch

1. Gereserveerd2026-03-13
2. Gepubliceerd2026-03-18
3. Gewijzigd2026-03-24
4. EPSS bijgewerkt2026-03-26

De primaire mitigatie voor CVE-2026-32731 is het upgraden van ApostropheCMS naar versie 3.5.3 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) die padtraversal-aanvallen detecteert en blokkeert. Controleer de import-export functionaliteit op onverwachte bestandsnamen of paden. Implementeer een strikte bestandsvalidatie tijdens het importproces om ervoor te zorgen dat bestanden alleen naar de beoogde directory worden geschreven. Monitor systeemlogboeken op verdachte activiteiten, zoals onverwachte bestandscreaties of wijzigingen in gevoelige bestanden.