Gebruikers van het “@adonisjs/bodyparser” npm-pakket wordt geadviseerd om te updaten naar de nieuwste versie na de openbaarmaking van een kritiek beveiligingsprobleem dat, indien succesvol misbruikt, een aanvaller op afstand in staat zou kunnen stellen willekeurige bestanden op de server te schrijven.
De fout, bijgehouden als CVE-2026-21440 (CVSS-score: 9,2), is beschreven als een probleem met het doorlopen van paden dat van invloed is op het AdonisJS-mechanisme voor het verwerken van meerdelige bestanden. “@adonisjs/bodyparser” is een npm-pakket geassocieerd met AdonisJS, een Node.js-framework voor het ontwikkelen van webapps en API-servers met TypeScript. De bibliotheek wordt gebruikt om de tekst van het AdonisJS HTTP-verzoek te verwerken.
“Als een ontwikkelaar MultipartFile.move() gebruikt zonder het tweede optie-argument of zonder expliciet de bestandsnaam op te schonen, kan een aanvaller een vervaardigde bestandsnaamwaarde leveren die traversal-reeksen bevat, en schrijft naar een bestemmingspad buiten de beoogde uploadmap”, zeiden de projectbeheerders in een advies dat vorige week werd uitgebracht. “Dit kan leiden tot het willekeurig schrijven van bestanden op de server.”
Succesvolle exploitatie hangt echter af van een bereikbaar upload-eindpunt. Het probleem ligt in de kern in een functie met de naam “MultipartFile.move(locatie, opties)” waarmee een bestand naar de opgegeven locatie kan worden verplaatst. De parameter “options” bevat twee waarden: de naam van een bestand en een overschrijfvlag die “true” of “false” aangeeft.
Het probleem doet zich voor wanneer de naamparameter niet als invoer wordt doorgegeven, waardoor de toepassing standaard een niet-opgeschoonde clientbestandsnaam gebruikt die de deur opent voor het doorlopen van paden. Hierdoor kan een aanvaller een willekeurige bestemming naar keuze kiezen en gevoelige bestanden overschrijven, als de overschrijfvlag is ingesteld op ’true’.
“Als de aanvaller applicatiecode, opstartscripts of configuratiebestanden kan overschrijven die later worden uitgevoerd/geladen, is RCE (remote code executie) mogelijk”, aldus AdonisJS. “RCE is niet gegarandeerd en is afhankelijk van bestandssysteemmachtigingen, implementatie-indeling en applicatie-/runtime-gedrag.”
Het probleem, ontdekt en gerapporteerd door Hunter Wodzenski (@wodzen), heeft gevolgen voor de volgende versies:
- <= 10.1.1 (opgelost in 10.1.2)
- <= 11.0.0-next.5 (opgelost in 11.0.0-next.6)
Fout in jsPDF npm-bibliotheek
De ontwikkeling valt samen met de onthulling van een andere kwetsbaarheid bij het doorlopen van paden in een npm-pakket met de naam jsPDF (CVE-2025-68428, CVSS-score: 9.2) dat kan worden misbruikt om niet-opgeschoonde paden door te geven en de inhoud van willekeurige bestanden op te halen in het lokale bestandssysteem waarop het knooppuntproces wordt uitgevoerd.
Het beveiligingslek is verholpen in jsPDF versie 4.0.0, uitgebracht op 3 januari 2026. Als tijdelijke oplossing wordt geadviseerd om de vlag –permission te gebruiken om de toegang tot het bestandssysteem te beperken. Een onderzoeker genaamd Kwangwoon Kim is erkend voor het melden van de bug.
“De bestandsinhoud is woordelijk opgenomen in de gegenereerde PDF’s”, aldus Parallax, de ontwikkelaars van de JavaScript PDF-generatiebibliotheek. “Alleen de node.js-builds van de bibliotheek worden beïnvloed, namelijk de bestanden dist/jspdf.node.js en dist/jspdf.node.min.js.”
