Plataforma
nodejs
Componente
docmost
Corrigido em
0.24.1
A vulnerabilidade CVE-2026-22249 é uma falha de Arbitrary File Write descoberta no software de wiki colaborativo e documentação de código aberto Docmost. Essa falha, explorável através da funcionalidade de importação de arquivos ZIP (ZipSlip), permite que um atacante escreva arquivos em locais arbitrários no sistema. A vulnerabilidade afeta as versões 0.21.0 até 0.23.9 e foi corrigida na versão 0.24.0.
Um atacante pode explorar essa vulnerabilidade para sobrescrever arquivos críticos do sistema, potencialmente comprometendo a integridade e a confidencialidade dos dados. A escrita arbitrária de arquivos pode levar à execução remota de código, permitindo que o atacante assuma o controle do servidor Docmost. O impacto é ampliado se o servidor Docmost for usado para armazenar informações confidenciais ou se estiver integrado a outros sistemas. A falta de validação no nome do arquivo durante a importação de ZIP torna o ataque relativamente simples de executar, similar a outras vulnerabilidades ZipSlip já observadas em outros softwares.
A vulnerabilidade foi divulgada em 15 de janeiro de 2026. Não há informações disponíveis sobre a adição a KEV (CISA KEV catalog) ou sobre a existência de exploits públicos. A probabilidade de exploração é considerada média, dada a facilidade de exploração e a natureza crítica da vulnerabilidade. A ausência de um PoC público não significa que a vulnerabilidade não possa ser explorada, especialmente por atores com conhecimento técnico.
Organizations using Docmost for internal documentation or collaboration, particularly those running vulnerable versions (0.21.0 - 0.23.9) on publicly accessible servers, are at significant risk. Shared hosting environments where multiple users have access to Docmost installations are also particularly vulnerable.
• nodejs: Monitor process execution for suspicious file creation or modification within the Docmost installation directory. Use ps aux | grep docmost to identify running processes and find /path/to/docmost -type f -mmin -60 to check for recently modified files.
• generic web: Examine access logs for POST requests to the Zip Import endpoint with unusual file extensions or filenames. Use grep -i "zip import" /var/log/apache2/access.log to identify relevant requests.
• generic web: Check response headers for errors related to file uploads or unexpected file content. Use curl -I <docmosturl>/zipimport to inspect headers.
disclosure
Status do Exploit
EPSS
0.03% (percentil 8%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-22249 é a atualização imediata para a versão 0.24.0 ou superior do Docmost. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso à funcionalidade de importação de ZIP apenas a usuários confiáveis. Implementar regras de firewall para bloquear o acesso não autorizado ao servidor Docmost também pode ajudar a reduzir o risco. Verifique se o sistema de arquivos possui permissões adequadas para evitar a escrita em locais sensíveis. Após a atualização, confirme a correção verificando os logs do sistema em busca de tentativas de importação de ZIP suspeitas.
Actualice Docmost a la versión 0.24.0 o superior. Esta versión corrige la vulnerabilidad de escritura arbitraria de archivos (ZipSlip) al validar correctamente los nombres de archivo durante la importación de archivos ZIP. La actualización previene la posible ejecución de código malicioso mediante la manipulación de archivos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-22249 is a HIGH severity vulnerability in Docmost versions 0.21.0 through 0.23.9 that allows attackers to write arbitrary files via the Zip Import Feature, potentially leading to code execution.
You are affected if you are running Docmost versions 0.21.0 through 0.23.9. Upgrade to version 0.24.0 or later to resolve the vulnerability.
Upgrade Docmost to version 0.24.0 or later. As a temporary workaround, restrict file upload capabilities and implement strict file type validation.
As of the current date, there are no reports of active exploitation targeting CVE-2026-22249.
Refer to the Docmost project's official website or security advisories for the latest information and updates regarding CVE-2026-22249.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.