CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-27699

Critical
Published: Translated: NVD NIST

Summary

Biblioteka klienta FTP `basic-ftp` dla Node.js zawiera podatność na traversję ścieżki (CWE-22) w wersjach przed 5.2.0 w metodzie `downloadToDir()`. Złośliwy serwer FTP może wysyłać listy katalogów z nazwami plików zawierającymi sekwencje traversji ścieżki (`../`), co powoduje zapis plików poza zamierzonym katalogiem pobierania.

Risk Assessment

Podatność ta może prowadzić do nieautoryzowanego dostępu do systemu plików, co stwarza ryzyko wycieku danych lub modyfikacji plików. Organizacje mogą być narażone na ataki, które wykorzystują tę lukę do uzyskania dostępu do wrażliwych informacji.

Recommendation

Zaleca się aktualizację biblioteki `basic-ftp` do wersji 5.2.0 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt istniejących implementacji w celu zidentyfikowania potencjalnych zagrożeń.

Original NVD description (English source)

The `basic-ftp` FTP client library for Node.js contains a path traversal vulnerability (CWE-22) in versions prior to 5.2.0 in the `downloadToDir()` method. A malicious FTP server can send directory listings with filenames containing path traversal sequences (`../`) that cause files to be written outside the intended download directory. Version 5.2.0 patches the issue.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS