Critical AdonisJS Vulnerability Allow Remote Attacker to Write Files On Server
2026/01/06 CyberSecurityNews — AdonisJS に、深刻なパス・トラバーサルの脆弱性が発見された。この脆弱性を悪用するリモート攻撃者は、サーバのファイル・システム上で任意のファイル書き込みを可能にし、システム全体の侵害につながる可能性がある。この脆弱性 CVE-2026-21440 は、TypeScript ファーストの Web フレームワークである AdonisJS の bodyparser モジュールに影響を及ぼしており、CVSS v4 スコア 9.2 (Critical) と評価されている。
このセキュリティ欠陥は、@adonisjs/bodyparser パッケージに含まれるマルチパート・ファイル処理機構に起因する。具体的には、multipart/form-data によるアップロード処理において、MultipartFile.move() メソッドが安全でないデフォルト・オプションを使用しており、クライアントが指定したファイル名を適切にサニタイズできていない。
| Attribute | Details |
|---|---|
| CVE ID | CVE-2026-21440 |
| Severity | Critical (CVSS v4: AV:N/AC:L/AT:P/PR:N/UI:N) |
| Affected Versions | ≤ 10.1.1, ≤ 11.0.0-next.5 |
| Weakness Type | CWE-22 (Path Traversal) |
攻撃者が送信する、細工されたファイルの名前に “../” などのパス・トラバーサル・シーケンスが含まれていると、意図されたアップロード・ディレクトリが回避され、サーバ上の任意の場所にファイルが書き込まれてしまう。
この脆弱性を悪用する際の前提としては、ファイル名サニタイズなしで MultipartFile.move() が使用されている、到達可能なアップロード・エンドポイントが必要となる。デフォルト設定では、ファイルの上書きが許可されているため、さらにリスクが高まる。
たとえば、アプリケーション・コード/起動スクリプト/設定ファイルが上書きされると、ファイル・システムの権限およびデプロイメント構成に応じて、リモート・コード実行 (RCE) に至る可能性がある。
この脆弱性は、セキュリティ研究者 Wodzen により GitHub 上で発見/報告された。影響が及ぶ範囲は、@adonisjs/bodyparser バージョン 10.1.1 以下と、プレリリースの 11.0.0-next.5 以下となる。
すでに AdonisJS は、バージョン 6/7 系向けのセキュリティ・パッチを公開し、この問題に対処している。開発者にとって必要なことは、@adonisjs/bodyparser をバージョン 10.1.2/11.0.0-next.6 へと速やかにアップデートすることである。影響を受けるバージョンを使用している組織は、アップロード・エンドポイントの監査を実施するとともに、追加のセキュリティ対策として、明示的なファイル名サニタイズを実装すべきである。
AdonisJS に深刻な脆弱性が発見されました。この問題の原因は、ファイルをアップロードする際に使用されるメソッドが、ユーザー (クライアント) から送られてくるファイル名を信用し、そのまま処理してしまったことにあります。ファイル名に含まれる “../” のような特殊な記号は、保存先を書き換えてしまう可能性があるため、適切に取り除かれる必要があります。デフォルトの設定でファイルの上書きが許可されていたことも、被害を深刻化させる要因となります。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.