Plataforma
nodejs
Componente
fuxa-server
Corrigido em
1.2.12
1.2.11
Uma falha na lógica de sanitização de caminhos no fuxa-server permite que um atacante autenticado com privilégios administrativos ignore as proteções de travessia de diretório. Ao utilizar sequências de travessia aninhadas (e.g., ....//), o atacante pode escrever arquivos arbitrários no sistema de arquivos do servidor, incluindo diretórios sensíveis como runtime/scripts, resultando em Execução Remota de Código (RCE) quando o servidor recarrega os scripts maliciosos. A vulnerabilidade é uma nova falha e uma brecha de correção da última versão.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante com privilégios administrativos grave arquivos em qualquer local do sistema de arquivos do servidor. Isso inclui a substituição de arquivos de configuração críticos, a inserção de scripts maliciosos nos diretórios runtime/scripts e, consequentemente, a execução de código arbitrário no servidor. O impacto é severo, pois permite o controle total do servidor comprometido. A capacidade de manipular scripts de runtime significa que um atacante pode executar comandos com as permissões do processo do servidor, potencialmente comprometendo outros sistemas na rede.
Esta vulnerabilidade foi divulgada em 2026-02-10. Não há informações disponíveis sobre sua inclusão no KEV ou sobre a existência de exploits públicos. A pontuação CVSS de 7.5 (HIGH) indica um risco significativo, especialmente em ambientes onde o fuxa-server é amplamente utilizado e as permissões administrativas são concedidas com facilidade.
Organizations relying on fuxa-server for critical services are at risk, particularly those with administrative interfaces exposed to the internet. Environments with legacy configurations or shared hosting setups where user privileges are not strictly controlled are especially vulnerable. Any deployment using older, unpatched versions of fuxa-server is potentially exposed.
• nodejs / server:
journalctl -u fuxa-server -f | grep -i "path traversal"• nodejs / server:
ps aux | grep fuxa-server | grep -i "....//"• generic web: Use curl to test for path traversal:
curl 'http://your-fuxa-server/path/....//sensitive_file.txt' • generic web: Grep access logs for requests containing suspicious path traversal sequences (e.g., '....//').
disclosure
Status do Exploit
EPSS
0.04% (percentil 10%)
CISA SSVC
A mitigação primária é atualizar o fuxa-server para a versão 1.2.11 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de mitigação temporárias, como restringir o acesso ao servidor e monitorar logs de sistema em busca de atividades suspeitas. Implementar regras de firewall para bloquear o acesso não autorizado aos diretórios sensíveis pode ajudar a limitar o impacto. Após a atualização, confirme a correção verificando se a travessia de diretórios é impedida ao tentar acessar arquivos fora do diretório esperado.
Actualice FUXA a la versión 1.2.11 o posterior. Esta versión corrige la vulnerabilidad de path traversal que permite la ejecución remota de código. La actualización evitará que atacantes con privilegios administrativos exploten esta vulnerabilidad.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-25951 is a Path Traversal vulnerability in fuxa-server allowing authenticated admins to bypass directory protections and potentially achieve Remote Code Execution.
You are affected if you are running a version of fuxa-server prior to 1.2.11 and have authenticated administrators with access to the server.
Upgrade fuxa-server to version 1.2.11 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting admin access and input validation.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests a potential for active exploitation.
Refer to the fuxa-server project's official website or security advisory page for the latest information and updates regarding CVE-2026-25951.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.