Hack Alerta

Falha crítica no AdonisJS permite gravação arbitrária de arquivos em servidores

Por Redação Hack Alerta Publicado em 06/01/2026 14:02 Riscos e Ameaças Tempo de leitura: 3 min

CVE-2026-21440 é uma falha de path traversal no @adonisjs/bodyparser que permite gravar arquivos arbitrários via MultipartFile.move(); versões até 10.1.1 e 11.0.0-next.5 estão afetadas — atualize para 10.1.2/11.0.0-next.6.

Pesquisadores reportaram uma vulnerabilidade de path traversal na biblioteca de parsing de corpo de requisições do framework AdonisJS que permite a gravação de arquivos arbitrários e eleva o risco de comprometimento total do servidor.

Descrição técnica e escopo

O problema, rastreado como CVE-2026-21440, afeta o pacote @adonisjs/bodyparser e reside no tratamento de uploads multipart/form-data, especificamente na rotina MultipartFile.move() que, segundo o relatório citado, usa opções padrão inseguras que não sanitizam corretamente nomes de arquivo fornecidos pelo cliente.

Versões afetadas e gravidade

  • Versões afetadas informadas: até 10.1.1 e até 11.0.0-next.5.
  • Classificação: Critical (CVSS v4 citado na matéria, com vetor de rede e possibilidade de exploração remota).

O pesquisador Wodzen relatou a falha no GitHub; o aviso de segurança e o advisory público constam na página de segurança do projeto, conforme a cobertura.

Vetor de exploração

A exploração exige um endpoint de upload acessível que aceite MultipartFile.move() sem mecanismos adicionais de sanitização de nome de arquivo. Um atacante pode enviar nomes contendo sequências de path traversal (por exemplo, “../”) para escapar do diretório pretendido e gravar arquivos em locais arbitrários no sistema de arquivos.

Impacto potencial

Com permissões de arquivo adequadas, um invasor poderia sobrescrever código da aplicação, scripts de inicialização ou arquivos de configuração, resultando em execução remota de código (RCE) dependendo do ambiente de implantação. A matéria observa que a configuração padrão também permite sobrescrita de arquivos, o que amplifica o risco.

Correções e recomendações

Segundo o texto, o time do AdonisJS já liberou correções: atualizar para @adonisjs/bodyparser versão 10.1.2 ou 11.0.0-next.6 é a ação recomendada. A reportagem também recomenda auditar endpoints de upload e aplicar sanitização explícita de nomes de arquivos como camada adicional de defesa.

O que a notícia documenta — e o que falta

A matéria fornece identificação do CVE, versões afetadas e versões corrigidas, além de descrever o vetor de ataque. Não há, no conteúdo consultado, menção a exploração ativa em ambiente real ou a incidentes confirmados decorrentes da vulnerabilidade; esse tipo de evidência não foi apresentada no relatório citado.

Medições práticas para equipes de segurança

  • Aplicar imediatamente as atualizações oficiais indicadas (@adonisjs/bodyparser 10.1.2 ou 11.0.0-next.6).
  • Revisar políticas de permissão em servidores de aplicação para minimizar a capacidade de sobrescrever binários ou scripts de inicialização.
  • Implementar sanitização rigorosa de nomes de arquivo do lado servidor e validar paths resolvidos contra diretórios permitidos.
  • Auditar logs de upload e endpoints expostos que utilizem MultipartFile.move().

Fonte

Relato baseado em cobertura do Cyber Security News em 06/01/2026, que cita o advisory no repositório do projeto e o relatório do pesquisador Wodzen.

Baseado em publicação original de Cyber Security News
Tags: #adonisjs #cve-2026-21440 #path-traversal #nodejs #bodyparser #vulnerabilidade #rce #seguranca #patch
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar