Plataforma
nodejs
Componente
basic-ftp
Corrigido em
5.2.1
5.2.0
A biblioteca basic-ftp para Node.js apresenta uma vulnerabilidade de Path Traversal no método downloadToDir(). Um servidor FTP malicioso pode enviar listagens de diretórios com nomes de arquivos contendo sequências de Path Traversal (../), permitindo que arquivos sejam escritos fora do diretório de download pretendido. A vulnerabilidade afeta versões da biblioteca basic-ftp entre 5.0.0 e 5.1.9 (exclusivo). A correção foi lançada na versão 5.2.0.
Um atacante pode explorar essa vulnerabilidade para escrever arquivos arbitrários no sistema de arquivos do servidor, potencialmente sobrescrevendo arquivos de sistema críticos ou injetando código malicioso. Isso pode levar à execução remota de código, comprometimento do sistema e roubo de dados sensíveis. O impacto é amplificado se o servidor estiver executando com privilégios elevados. A exploração bem-sucedida pode permitir que um atacante obtenha controle total sobre o sistema, similar a cenários de escalada de privilégios em outros softwares que lidam com caminhos de arquivos sem validação adequada.
A vulnerabilidade foi divulgada em 2026-02-25. Não há evidências de exploração ativa em campanhas públicas no momento da divulgação. A pontuação CVSS de 9.1 indica um risco crítico. A ausência de um Proof of Concept (PoC) público não diminui a gravidade da vulnerabilidade, pois a exploração é conceitualmente simples.
Applications and services built on Node.js that utilize the basic-ftp library to download files from external FTP servers are at risk. This includes automated file transfer systems, backup solutions, and any application that relies on basic-ftp for FTP functionality. Specifically, systems that handle user-provided FTP server addresses or filenames are particularly vulnerable.
• nodejs / server:
npm list basic-ftp• nodejs / server:
npm audit basic-ftp• nodejs / server:
Inspect application code for instances where basic-ftp is used to download files from external FTP servers, paying close attention to how filenames are handled and validated.
disclosure
Status do Exploit
EPSS
0.09% (percentil 25%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar a biblioteca basic-ftp para a versão 5.2.0 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar uma validação de caminho robusta no código da aplicação para garantir que os arquivos sejam escritos apenas no diretório de destino pretendido. Implemente uma lista de permissões (whitelist) de caracteres permitidos nos nomes de arquivos e rejeite qualquer arquivo que contenha sequências de Path Traversal. Além disso, configure um Web Application Firewall (WAF) para bloquear solicitações que contenham padrões de Path Traversal conhecidos.
Atualize a biblioteca basic-ftp para a versão 5.2.0 ou superior. Isso corrige a vulnerabilidade de path traversal no método downloadToDir(). A atualização pode ser realizada utilizando o gerenciador de pacotes npm.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-27699 is a critical path traversal vulnerability in the basic-ftp Node.js library, allowing attackers to write files outside the intended download directory.
You are affected if you are using basic-ftp versions prior to 5.2.0 and downloading files from untrusted FTP servers.
Upgrade to basic-ftp version 5.2.0 or later. As a temporary workaround, sanitize filenames received from the FTP server.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests a potential for exploitation.
Refer to the basic-ftp project's repository and release notes for the official advisory and details on the fix.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.