Katalog CVE

CVE-2026-27699

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Biblioteka klienta FTP `basic-ftp` dla Node.js zawiera podatność na traversję ścieżki (CWE-22) w wersjach przed 5.2.0 w metodzie `downloadToDir()`. Złośliwy serwer FTP może wysyłać listy katalogów z nazwami plików zawierającymi sekwencje traversji ścieżki (`../`), co powoduje zapis plików poza zamierzonym katalogiem pobierania.

Ocena ryzyka

Podatność ta może prowadzić do nieautoryzowanego dostępu do systemu plików, co stwarza ryzyko wycieku danych lub modyfikacji plików. Organizacje mogą być narażone na ataki, które wykorzystują tę lukę do uzyskania dostępu do wrażliwych informacji.

Rekomendacja

Zaleca się aktualizację biblioteki `basic-ftp` do wersji 5.2.0 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt istniejących implementacji w celu zidentyfikowania potencjalnych zagrożeń.

Oryginalny opis (angielski, źródło NVD)

The `basic-ftp` FTP client library for Node.js contains a path traversal vulnerability (CWE-22) in versions prior to 5.2.0 in the `downloadToDir()` method. A malicious FTP server can send directory listings with filenames containing path traversal sequences (`../`) that cause files to be written outside the intended download directory. Version 5.2.0 patches the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS