Plataforma
nodejs
Componente
files-bucket-server
Corrigido em
1.2.7
Uma vulnerabilidade de Directory Traversal foi identificada no files-bucket-server, afetando versões até 1.2.6. Essa falha permite que um atacante navegue pelo sistema de arquivos e acesse arquivos fora do diretório esperado, comprometendo a confidencialidade dos dados. A correção completa está disponível na versão mais recente (*), e medidas de mitigação temporárias podem ser implementadas para reduzir o risco.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante obtenha acesso não autorizado a arquivos confidenciais armazenados no servidor. Isso pode incluir informações sensíveis, como credenciais de usuários, dados de configuração e código-fonte. O impacto potencial é significativo, pois um atacante pode comprometer a integridade e a confidencialidade de todo o sistema. A capacidade de navegar pelo sistema de arquivos abre portas para a execução de comandos arbitrários, dependendo das permissões do usuário sob o qual o files-bucket-server está sendo executado, ampliando o raio de impacto.
A vulnerabilidade foi divulgada em 2025-07-23. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV. A ausência de um Proof of Concept (PoC) público não elimina o risco, pois a exploração pode ser desenvolvida internamente por atacantes. A complexidade da configuração do files-bucket-server pode dificultar a exploração em larga escala, mas a vulnerabilidade permanece um risco significativo.
Applications and services relying on files-bucket-server for file storage or retrieval are at risk. This includes systems with older, unpatched installations of files-bucket-server, particularly those deployed in environments with permissive file system permissions or shared hosting configurations.
• nodejs / server:
find /path/to/files-bucket-server -type f -name "*..*"• generic web:
curl -I 'http://your-server/../../../../etc/passwd' # Check for sensitive file accessdisclosure
Status do Exploit
EPSS
0.37% (percentil 58%)
CISA SSVC
Vetor CVSS
A correção definitiva é atualizar para a versão mais recente do files-bucket-server (*). Enquanto isso não for possível, implemente controles de acesso rigorosos para restringir o acesso aos arquivos e diretórios. Considere a utilização de um Web Application Firewall (WAF) para filtrar solicitações maliciosas que tentem explorar a vulnerabilidade. Revise e reforce as políticas de permissões do sistema de arquivos para garantir que os usuários tenham apenas o acesso necessário. Implemente monitoramento de logs para detectar tentativas de acesso não autorizado.
Actualice el paquete files-bucket-server a la última versión disponible. Esto solucionará la vulnerabilidad de path traversal. Ejecute `npm update files-bucket-server` o `yarn upgrade files-bucket-server` para actualizar el paquete.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-8021 is a vulnerability allowing attackers to access files outside the intended directory in files-bucket-server versions up to 1.2.6.
You are affected if you are using files-bucket-server versions 1.2.6 or earlier. Upgrade to the latest version to mitigate the risk.
Upgrade to a version of files-bucket-server newer than 1.2.6. Consult the project's release notes for the latest stable build. Implement file access restrictions as a temporary workaround.
No active exploitation campaigns have been reported at this time, but the vulnerability's nature suggests a potential for future attacks.
Refer to the project's official website or repository for the latest security advisories and release notes related to CVE-2025-8021.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.