Los usuarios de la» @adonisjs /bodyparser «Se recomienda actualizar el paquete npm a la última versión tras la revelación de una vulnerabilidad de seguridad crítica que, si se explota con éxito, podría permitir a un atacante remoto escribir archivos arbitrarios en el servidor.

Registrada como CVE-2026-21440 (puntuación CVSS: 9.2), la falla se ha descrito como un problema de recorrido de ruta que afecta al mecanismo de manejo de archivos multiparte de AdonisJS. "@adonisjs /bodyparser" es un paquete npm asociado a AdonisJS, un framework de Node.js para desarrollar aplicaciones web y servidores de API con TypeScript. La biblioteca se usa para procesar el cuerpo de la solicitud HTTP de AdonisJS .

«Si un desarrollador usa MultipartFile.move () sin el segundo argumento de opciones o sin desinfectar explícitamente el nombre del archivo, un atacante puede proporcionar un valor de nombre de archivo creado que contenga secuencias transversales y escriba en una ruta de destino fuera del directorio de carga previsto», mantienen los mantenedores del proyecto. dijo en un aviso publicado la semana pasada. «Esto puede provocar la escritura arbitraria de archivos en el servidor».

Sin embargo, la explotación exitosa depende de un punto final de carga accesible. El problema, en esencia, reside en una función denominada» Multipartfile.move (ubicación, opciones) «que permite mover un archivo a la ubicación especificada. El parámetro «options» contiene dos valores: el nombre de un archivo y un indicador de sobrescritura que indica «verdadero» o «falso».

El problema surge cuando el parámetro name no se pasa como entrada, lo que hace que la aplicación utilice de forma predeterminada un nombre de archivo de cliente no saneado que abre la puerta al recorrido de rutas. Esto, a su vez, permite al atacante elegir un destino arbitrario de su agrado y sobrescribir los archivos confidenciales si el indicador de sobrescritura está establecido en «true».

«Si el atacante puede sobrescribir el código de la aplicación, los scripts de inicio o los archivos de configuración que luego se ejecutan/cargan, es posible la RCE [ejecución remota de código]», afirma AdonisJS. «El RCE no está garantizado y depende de los permisos del sistema de archivos, el diseño de la implementación y el comportamiento de las aplicaciones y el tiempo de ejecución».

El problema, descubierto y denunciado por Hunter Wodzenski (@ wodzen ) afecta a las siguientes versiones -

  • <= 10.1.1 (corregido en 10.1.2)
  • <= 11.0.0-next.5 (corregido en 11.0.0-next.6)

Fallo en la biblioteca npm de JSPdf

El desarrollo coincide con la revelación de otra vulnerabilidad de cruce de rutas en un paquete npm denominado jsPDF ( CVE-2025-68428 , puntuación CVSS: 9.2) que podría aprovecharse para pasar rutas no desinfectadas y recuperar el contenido de archivos arbitrarios en el sistema de archivos local en el que se ejecuta el proceso del nodo.

La vulnerabilidad ha sido parcheada en la versión 4.0.0 de jsPDF publicada el 3 de enero de 2026. Como solución alternativa, se recomienda utilizar el --indicador de permiso para restringir el acceso al sistema de archivos. Un investigador llamado Kwangwoon Kim ha sido reconocido por denunciar el error.

«El contenido del archivo se incluye literalmente en los PDF generados», dijeron Parallax, los desarrolladores de la biblioteca de generación de PDF de JavaScript, dijo . «Solo se ven afectadas las compilaciones de node.js de la biblioteca, es decir, los archivos dist/jspdf.node.js y dist/jspdf.node.min.js».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.