Se recomienda a los usuarios del paquete npm @adonisjs/bodyparser que actualicen a la última versión luego del descubrimiento de una vulnerabilidad de seguridad crítica que, si se explota con éxito, podría permitir que un atacante remoto escriba archivos arbitrarios en el servidor.
El error se rastrea como CVE-2026-21440 (puntaje CVSS: 9.2) y se describe como un problema de recorrido de ruta que afecta el mecanismo de procesamiento de archivos de varias partes de AdonisJS. @adonisjs/bodyparser es un paquete npm asociado con AdonisJS, un marco Node.js para desarrollar aplicaciones web y servidores API utilizando TypeScript. La biblioteca se utiliza para procesar el cuerpo de la solicitud HTTP de AdonisJS.
“Si un desarrollador usa MultipartFile.move() sin el argumento de la segunda opción o sin una desinfección explícita del nombre del archivo, un atacante podría proporcionar un valor de nombre de archivo diseñado que contenga secuencias transversales y escriba en una ruta de destino fuera del directorio de carga previsto”, dijeron los mantenedores del proyecto en un aviso publicado la semana pasada. “Esto puede provocar escrituras arbitrarias de archivos en el servidor”.
Sin embargo, la explotación exitosa depende de un punto final de carga accesible. En esencia, el problema radica en una función llamada “MultipartFile.move(ubicación, opciones)”, que permite mover un archivo a la ubicación especificada. El parámetro de opciones contiene dos valores: el nombre de un archivo y un indicador de anulación que indica verdadero o falso.
El problema ocurre cuando el parámetro de nombre no se pasa como entrada, lo que hace que la aplicación adopte de forma predeterminada un nombre de archivo de cliente no desinfectado, lo que abre la puerta al recorrido de ruta. Esto, a su vez, permite a un atacante seleccionar cualquier objetivo a voluntad y sobrescribir archivos confidenciales si el indicador de sobrescritura está configurado en verdadero.
“Si el atacante puede sobrescribir el código de la aplicación, los scripts de inicio o los archivos de configuración que luego se ejecutan/cargan, es posible RCE (ejecución remota de código)”, dijo AdonisJS. “RCE no está garantizado y depende de los permisos del sistema de archivos, el diseño de implementación y el comportamiento de la aplicación/tiempo de ejecución”.
El problema descubierto y reportado por Hunter Wodzenski (@wodzen) afecta a las siguientes versiones:
- <= 10.1.1 (Corregido en 10.1.2)
- <= 11.0.0-next.5 (Corregido en 11.0.0-next.6)
Error en la biblioteca jsPDF npm
El desarrollo coincide con la divulgación de otra vulnerabilidad de recorrido de ruta en un paquete npm llamado jsPDF (CVE-2025-68428, puntuación CVSS: 9.2), que podría explotarse para pasar rutas sucias y recuperar el contenido de archivos arbitrarios en el sistema de archivos local que ejecuta el proceso del nodo.
La vulnerabilidad se parchó en la versión 4.0.0 de jsPDF lanzada el 3 de enero de 2026. Como solución alternativa, se recomienda utilizar el indicador –permission para restringir el acceso al sistema de archivos. A un investigador llamado Kwangwoon Kim se le atribuyó el mérito de informar del error.
“El contenido del archivo se incluye palabra por palabra en los archivos PDF generados”, dijo Parallax, el desarrollador de la biblioteca de generación de PDF JavaScript. “Solo las compilaciones node.js de la biblioteca se ven afectadas, es decir, los archivos dist/jspdf.node.js y dist/jspdf.node.min.js”.
About The Author
