平台
nodejs
组件
files-bucket-server
修复版本
1.2.7
CVE-2025-8021 是 files-bucket-server 中的目录遍历漏洞,允许攻击者访问文件系统中的敏感文件。该漏洞的潜在影响包括未经授权的数据泄露和系统访问。受影响的版本包括 files-bucket-server 1.2.6 及更早版本。目前已发布补丁,建议用户尽快升级。
此目录遍历漏洞允许攻击者绕过文件系统访问控制,读取任意文件。攻击者可以通过构造恶意的请求,访问服务器上的敏感信息,例如配置文件、数据库凭据或源代码。如果服务器存储了用户数据,攻击者可能能够窃取个人身份信息 (PII) 或其他敏感数据。更严重的场景下,攻击者可能利用此漏洞进一步入侵系统,执行恶意代码或进行横向移动。
目前尚未公开发现针对 CVE-2025-8021 的公开利用代码 (PoC)。该漏洞已添加到 CISA KEV 目录,表明其具有中等概率被利用。建议密切关注安全社区的动态,及时获取最新的威胁情报。
Applications and services relying on files-bucket-server for file storage or retrieval are at risk. This includes systems with older, unpatched installations of files-bucket-server, particularly those deployed in environments with permissive file system permissions or shared hosting configurations.
• nodejs / server:
find /path/to/files-bucket-server -type f -name "*..*"• generic web:
curl -I 'http://your-server/../../../../etc/passwd' # Check for sensitive file accessdisclosure
漏洞利用状态
EPSS
0.37% (58% 百分位)
CISA SSVC
CVSS 向量
针对 CVE-2025-8021,最有效的缓解措施是升级到最新版本。由于已发布补丁,建议立即升级到最新版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 或反向代理来过滤恶意请求,阻止攻击者访问敏感文件。此外,应审查文件系统权限,确保只有授权用户才能访问敏感文件。升级后,请验证文件系统权限是否正确配置,并测试应用程序的功能是否正常。
Actualice el paquete files-bucket-server a la última versión disponible. Esto solucionará la vulnerabilidad de path traversal. Ejecute `npm update files-bucket-server` o `yarn upgrade files-bucket-server` para actualizar el paquete.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-8021 是 files-bucket-server 中的一个目录遍历漏洞,允许攻击者访问文件系统中的敏感文件。
如果你的 files-bucket-server 版本低于或等于 1.2.6,则你可能受到影响。
升级到最新版本是修复此漏洞的最佳方法。
目前尚未公开发现针对 CVE-2025-8021 的公开利用代码,但已添加到 CISA KEV 目录,表明其具有中等概率被利用。
请查阅 files-bucket-server 的官方安全公告或 GitHub 仓库获取更多信息。