Критическая уязвимость в AdonisJS: путь к удаленному выполнению кода

В начале 2026 года в Банке данных угроз (BDU) зарегистрирована новая серьезная уязвимость, затрагивающая популярную программную платформу для создания веб-приложений AdonisJS. Уязвимость, получившая идентификаторы BDU:2026-00120 и CVE-2026-21440, связана с модулем "bodyparser" и оценивается как критическая. Она позволяет удаленному злоумышленнику выполнить произвольный код на сервере.

Детали уязвимости

Проблема кроется в функции "MultipartFile.move()", которая отвечает за обработку загружаемых файлов. Конкретно, обнаружен недостаток типа «Обход пути» (Path Traversal, CWE-22). Функция некорректно ограничивает имя пути к целевому каталогу. Следовательно, злоумышленник может отправить специально сформированный файл с именем, содержащим последовательности символов для перемещения по файловой системе. В результате атакующий получает возможность записать вредоносный файл в произвольное место на сервере за пределами предназначенной для загрузок директории.

Оценка по системе CVSS подчеркивает высокую степень опасности. Базовая оценка CVSS 3.1 достигает 9.1 балла, что соответствует критическому уровню. Вектор атаки - сетевой (AV:N), не требуется ни аутентификации (PR:N), ни взаимодействия с пользователем (UI:N). Успешная эксплуатация приводит к высокому уровню воздействия на целостность (I:H) и доступность (A:H) системы. Проще говоря, используя эту уязвимость, злоумышленник может изменить критически важные файлы или вызвать отказ в обслуживании.

Уязвимость затрагивает пакет "bodyparser" версий до 10.1.2 в стабильной ветке и до 11.0.0-next.6 в следующей ветке разработки. Соответственно, под угрозой находятся все веб-приложения на AdonisJS, использующие уязвимые версии этого модуля для обработки загрузки файлов. Разработчики из AdonisJS Core Team уже подтвердили проблему и выпустили исправления.

Важно отметить, что, по данным BDU, эксплойт для данной уязвимости уже существует в открытом доступе. Это значительно повышает риски, так как снижает порог входа для киберпреступников. Техника эксплуатации относится к манипулированию ресурсами. Таким образом, угроза является актуальной и требует немедленного реагирования от администраторов и разработчиков.

Производитель устранил уязвимость в выпусках "bodyparser" версий 10.1.2 и 11.0.0-next.6. Следовательно, основная и рекомендуемая мера по устранению - немедленное обновление до более поздних безопасных версий. Ссылки на официальные релизы и бюллетень безопасности доступны в описании уязвимости.

Однако, помимо основного исправления, специалисты BDU предлагают ряд компенсирующих мер для организаций, которые по каким-либо причинам не могут мгновенно применить обновление. Во-первых, рекомендуется строго ограничить удаленный доступ к уязвимым платформам с помощью межсетевых экранов. Во-вторых, целесообразно использовать схемы доступа по «белым спискам». В-третьих, полезным может быть развертывание VPN для организации защищенного удаленного доступа к инфраструктуре.

Дополнительно, для мониторинга попыток атак можно настроить SIEM-системы на отслеживание подозрительных событий, связанных с загрузкой файлов. Использование антивирусного программного обеспечения для проверки входящих файлов также может служить дополнительным слоем защиты. Тем не менее, важно понимать, что эти меры носят временный характер и не заменяют установку официального патча.

В заключение, уязвимость в AdonisJS "bodyparser" представляет собой серьезную угрозу безопасности. Её критический статус, наличие работающего эксплойта в открытом доступе и относительно простой способ эксплуатации делают её привлекательной целью для злоумышленников. Разработчикам на этой платформе необходимо в срочном порядке проверить версии используемых пакетов и применить обновления. Системным администраторам следует рассмотреть компенсирующие меры контроля доступа и мониторинга до момента полного обновления всех уязвимых систем. Игнорирование данной проблемы может привести к полному компрометированию веб-приложения и сервера.