平台
nodejs
组件
basic-ftp
修复版本
5.2.1
5.2.0
CVE-2026-27699 是 basic-ftp 库中的路径遍历漏洞。攻击者可以通过发送包含路径遍历序列(如 ../)的目录列表文件名,导致文件被写入到目标下载目录之外。此漏洞影响 basic-ftp 版本低于 5.2.0 的用户,建议立即升级到 5.2.0 以缓解风险。
该漏洞允许攻击者在目标系统上执行任意文件写入操作。攻击者可以利用 FTP 服务器发送的恶意目录列表,构造包含路径遍历序列的文件名,从而覆盖或篡改系统关键文件。例如,攻击者可能将恶意配置文件写入到系统目录,从而控制应用程序的行为。这种攻击可能导致数据泄露、系统损坏,甚至远程代码执行。由于 basic-ftp 广泛应用于各种 Node.js 应用程序中,因此该漏洞的潜在影响范围非常广泛。
目前尚未公开发现针对 CVE-2026-27699 的公开利用代码,但该漏洞的严重性较高,且影响范围广泛,因此存在被利用的风险。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的潜在威胁。建议密切关注安全社区的动态,及时获取最新的威胁情报。
Applications and services built on Node.js that utilize the basic-ftp library to download files from external FTP servers are at risk. This includes automated file transfer systems, backup solutions, and any application that relies on basic-ftp for FTP functionality. Specifically, systems that handle user-provided FTP server addresses or filenames are particularly vulnerable.
• nodejs / server:
npm list basic-ftp• nodejs / server:
npm audit basic-ftp• nodejs / server:
Inspect application code for instances where basic-ftp is used to download files from external FTP servers, paying close attention to how filenames are handled and validated.
disclosure
漏洞利用状态
EPSS
0.09% (25% 百分位)
CISA SSVC
最有效的缓解措施是立即将 basic-ftp 升级到 5.2.0 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:在 FTP 服务器端实施严格的文件名验证,过滤掉包含路径遍历序列的文件名。使用 Web 应用程序防火墙 (WAF) 或代理服务器来拦截和阻止包含恶意路径的文件请求。限制 FTP 服务器的权限,使其只能访问特定的目录,从而减少攻击者可能利用的范围。在代码中添加额外的文件路径验证逻辑,确保文件写入操作只发生在预期的目录中。
将 basic-ftp 库更新到 5.2.0 或更高版本。这修复了 downloadToDir() 方法中的路径遍历漏洞。可以使用 npm 包管理器进行更新。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-27699 是 basic-ftp 库中的一个安全漏洞,允许攻击者通过 FTP 服务器发送的恶意目录列表,将文件写入到目标下载目录之外。
如果您正在使用 basic-ftp 版本低于 5.2.0,则可能受到此漏洞的影响。请立即检查您的依赖项版本。
将 basic-ftp 升级到 5.2.0 或更高版本是修复此问题的最佳方法。
目前尚未公开发现针对 CVE-2026-27699 的公开利用代码,但由于漏洞的严重性,存在被利用的风险。
请访问 basic-ftp 的 GitHub 仓库或官方网站,查找有关 CVE-2026-27699 的安全公告。
CVSS 向量