CRITICALCVE-2026-32731CVSS 9.9

ApostropheCMS 是一个开源内容管理框架。在 `@apostrophecms/import-export` 的 3.5.3 版本之前，`gzip.js` 中的 `extract()` 函数使用 `fs.createWriteStream(path.join(exportPath, header.name))` 构建文件写入路径。`path.join()` 不会解析或清理诸如 `../` 之类的遍历片段。它将它们原样连接起来，这意味着名为 `../../evil.js` 的 tar 条目解析为目标提取目录之外的路径。在打开写入流之前，未执行规范路径检查。

Q: 什么是 CVE-2026-32731 — Zip Slip 漏洞在 @apostrophecms/import-export 中？

CVE-2026-32731 是一个在 ApostropheCMS 的 `@apostrophecms/import-export` 模块中发现的 Zip Slip 漏洞，允许攻击者通过恶意构造的导入文件，在导出目录之外写入任意文件。

Q: 我是否受到 CVE-2026-32731 在 @apostrophecms/import-export 中的影响？

如果您正在使用 `@apostrophecms/import-export` 模块，并且版本小于 3.5.3，则您可能受到此漏洞的影响。

Q: 我如何修复 CVE-2026-32731 在 @apostrophecms/import-export 中的问题？

立即将 `@apostrophecms/import-export` 模块升级至 3.5.3 或更高版本。

Q: CVE-2026-32731 是否正在被积极利用？

虽然目前尚未确认有公开的利用案例，但由于漏洞的严重性和易利用性，预计未来可能会出现。

Q: 在哪里可以找到官方 ApostropheCMS 关于 CVE-2026-32731 的公告？

请访问 ApostropheCMS 的官方网站或安全公告页面，以获取有关此漏洞的最新信息。

平台

nodejs

组件

node.js

修复版本

3.5.4

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-32731 是一个在 ApostropheCMS 的 @apostrophecms/import-export 模块中发现的 Zip Slip 漏洞。该漏洞允许攻击者通过恶意构造的导入文件，在导出目录之外写入任意文件，从而可能导致服务器上的代码执行。该漏洞影响 @apostrophecms/import-export 版本小于或等于 3.5.3 的系统。建议立即升级至 3.5.3 版本以修复此问题。

影响与攻击场景

攻击者可以利用此 Zip Slip 漏洞，通过上传包含恶意文件路径（例如 ../../evil.js）的压缩文件，在服务器文件系统中的任意位置写入文件。这可能导致攻击者覆盖关键系统文件，执行恶意代码，或者窃取敏感数据。由于 ApostropheCMS 通常用于构建内容管理系统，因此该漏洞可能导致网站被完全控制，数据泄露，甚至服务中断。该漏洞的潜在影响类似于其他 Zip Slip 漏洞，例如在某些归档工具中发现的漏洞，攻击者可以利用这些漏洞在文件系统中的任意位置写入文件。

利用背景

该漏洞已公开披露，且描述中明确指出存在 Zip Slip 漏洞。目前尚无公开的 PoC 代码，但由于该漏洞的严重性和易利用性，预计未来可能会出现。CISA 尚未将其添加到 KEV 目录，但其严重程度表明可能需要进一步关注。建议密切关注安全社区的动态，以获取有关此漏洞的最新信息。

哪些人处于风险中翻译中…

ApostropheCMS installations using @apostrophecms/import-export versions prior to 3.5.3 are at risk. This includes developers and system administrators who manage ApostropheCMS deployments, particularly those who allow users to upload files via the import-export functionality. Shared hosting environments running ApostropheCMS are also at increased risk, as a compromised user account could potentially exploit this vulnerability to gain access to the entire server.

检测步骤翻译中…

• nodejs / server:

find /path/to/node_modules/@apostrophecms/import-export/gzip.js -exec grep -i 'path.join(exportPath, header.name)' {}

• linux / server:

journalctl -f -u node | grep -i "extract()"

• generic web:

curl -I http://your-apostrophe-site.com/import-export/upload.php?file=../../evil.txt

攻击时间线

2026-03-18Disclosure
disclosure
2026-03-18Patch
patch

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.07% (22% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响total

受影响的软件

组件node.js

供应商apostrophecms

影响范围修复版本

< 3.5.3 – < 3.5.33.5.4

3.5.33.5.4

弱点分类 (CWE)

CWE-22

时间线

已保留2026-03-13
发布日期2026-03-18
修改日期2026-03-24
EPSS 更新日期2026-03-26

缓解措施和替代方案

最有效的缓解措施是立即将 @apostrophecms/import-export 模块升级至 3.5.3 或更高版本。如果升级会导致系统中断，可以考虑回滚到之前的稳定版本，并实施额外的安全措施。此外，可以配置 Web 应用防火墙 (WAF) 或代理服务器，以阻止上传包含可疑文件路径的压缩文件。还可以实施输入验证，以确保导入的文件路径是安全的。在升级后，请验证文件系统完整性，以确保没有恶意文件被写入。

修复方法

将 `@apostrophecms/import-export` 模块更新到 3.5.3 或更高版本。这修复了在导入-导出过程中 Gzip 文件提取期间的任意文件写入 (Zip Slip / Path Traversal) 漏洞。更新可防止恶意用户在目标目录之外写入文件。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-32731 — Zip Slip 漏洞在 @apostrophecms/import-export 中？

CVE-2026-32731 是一个在 ApostropheCMS 的 @apostrophecms/import-export 模块中发现的 Zip Slip 漏洞，允许攻击者通过恶意构造的导入文件，在导出目录之外写入任意文件。

我是否受到 CVE-2026-32731 在 @apostrophecms/import-export 中的影响？

如果您正在使用 @apostrophecms/import-export 模块，并且版本小于 3.5.3，则您可能受到此漏洞的影响。

我如何修复 CVE-2026-32731 在 @apostrophecms/import-export 中的问题？

立即将 @apostrophecms/import-export 模块升级至 3.5.3 或更高版本。

CVE-2026-32731 是否正在被积极利用？