SK-CERT Bezpečnostné varovanie V20260107-02
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP:CLEAR |
| CVSS Skóre |
9.2 |
| Identifikátor |
| ADONISJS – kritická bezpečnostná zraniteľnosť |
| Popis |
| Vývojári NPM knižnice @ADONISJS/BODYPARSER vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú kritickú zraniteľnosť. Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2026-21440 spočíva v nedostatočnom overovaní používateľských vstupov v rámci funkcie MultipartFile.move() a umožňuje realizáciu tzv. Path Traversal útokov. Vzdialený, neautentifikovaný útočník by ju zaslaním špeciálne vytvorených požiadaviek mohol zneužiť na vytvorenie súborov na súborovom systéme servera. Modifikáciou špecifických súborov alebo vytvorením škodlivých súborov by útočník mohol získať úplnú kontrolu nad systémom. V určitých prípadoch zraniteľnosť možno zneužiť aj na vykonanie škodlivého kódu. |
| Dátum prvého zverejnenia varovania |
| 2.1.2026 |
| CVE |
| CVE-2026-21440 |
| IOC |
| – |
| Zasiahnuté systémy |
| @adonisjs/bodyparser vo verzii staršej ako 10.1.2 @adonisjs/bodyparser vo verzii staršej ako 11.0.0-next.6 |
| Následky |
| Vykonanie škodlivého kódu Úplné narušenie dôvernosti, integrity a dostupnosti systému |
| Odporúčania |
| Administrátorom odporúčame uistiť sa, či ich aplikácie alebo služby nevyužívajú predmetnú knižnicu v zraniteľných verziách. V prípade, že áno, odporúčame bezodkladnú aktualizáciu knižnice. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. |
| Zdroje |
|
https://github.com/adonisjs/core/security/advisories/GHSA-gvq6-hvvp-h34h https://thehackernews.com/2026/01/critical-adonisjs-bodyparser-flaw-cvss.html |
« Späť na zoznam
