更新時間:2026/01/23 16:41:54
發佈時間:2026/01/22 17:05:28
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
因誤植主旨內CVE編號故更新主旨,內文無異動。
一、漏洞說明[1]
AdonisJS發布安全公告,指出其@adonisjs/bodyparser套件存在一項路徑遍歷漏洞(CVE-2026-21440)。該漏洞發生於multipart檔案處理流程中,MultipartFile.move()方法於預設設定下,未對上傳檔名進行完整的驗證與路徑正規化處理,使攻擊者可透過特製惡意檔名進行路徑遍歷,將上傳檔案寫入非預期的伺服器檔案路徑,並可能導致遠端程式碼執行。
二、已揭露攻擊活動說明
1. GitHub已有CVE-2026-21440的PoC程式碼。[2]
▶ 漏洞資訊
⌵
名稱:
CVE-2026-21440
描述:
使用版本:CVSS 4.0
分析分數:9.2
參考來源: NVD [3]
▶ 影響平台
⌵
影響平台-系統:
1. @adonisjs/bodyparser 10.X系列:10.1.1以下版本受影響,建議升級至10.1.2或以上版本。
2. @adonisjs/bodyparser 11.x預發布版本(prerelease):11.0.0-next.0至11.0.0-next.5版本受影響,建議升級至11.0.0-next.6或以上版本。
▶ 建議措施
⌵
1. 官方已發布修補程式,建議會員依據單位內漏洞管理機制進行相關作業。
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://github.com/advisories/GHSA-gvq6-hvvp-h34h | AdonisJS |
| 2 | https://github.com/Ashwesker/Ashwesker-CVE-2026-21440 | GitHub |
| 3 | https://nvd.nist.gov/vuln/detail/CVE-2026-21440 | NVD |
情資編號:
FISAC-200-202601-0005
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞