CVE-2026-27699
KrytyczneStreszczenie
Biblioteka klienta FTP `basic-ftp` dla Node.js zawiera podatność na traversję ścieżki (CWE-22) w wersjach przed 5.2.0 w metodzie `downloadToDir()`. Złośliwy serwer FTP może wysyłać listy katalogów z nazwami plików zawierającymi sekwencje traversji ścieżki (`../`), co powoduje zapis plików poza zamierzonym katalogiem pobierania.
Ocena ryzyka
Podatność ta może prowadzić do nieautoryzowanego dostępu do systemu plików, co stwarza ryzyko wycieku danych lub modyfikacji plików. Organizacje mogą być narażone na ataki, które wykorzystują tę lukę do uzyskania dostępu do wrażliwych informacji.
Rekomendacja
Zaleca się aktualizację biblioteki `basic-ftp` do wersji 5.2.0 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt istniejących implementacji w celu zidentyfikowania potencjalnych zagrożeń.
Oryginalny opis (angielski, źródło NVD)
The `basic-ftp` FTP client library for Node.js contains a path traversal vulnerability (CWE-22) in versions prior to 5.2.0 in the `downloadToDir()` method. A malicious FTP server can send directory listings with filenames containing path traversal sequences (`../`) that cause files to be written outside the intended download directory. Version 5.2.0 patches the issue.

