Se recomienda a los usuarios del paquete npm «@adonisjs/bodyparser» que actualicen a la última versión luego de la divulgación de una vulnerabilidad de seguridad crítica que, si se explota con éxito, podría permitir que un atacante remoto escriba archivos arbitrarios en el servidor.
Registrada como CVE-2026-21440 (puntaje CVSS: 9.2), la falla se ha descrito como un problema de recorrido de ruta que afecta el mecanismo de manejo de archivos multiparte de AdonisJS. «@adonisjs/bodyparser» es un paquete npm asociado con AdonisJS, un marco Node.js para desarrollar aplicaciones web y servidores API con TypeScript. La biblioteca se utiliza para procesar el cuerpo de la solicitud HTTP de AdonisJS.
«Si un desarrollador usa MultipartFile.move() sin el segundo argumento de opciones o sin desinfectar explícitamente el nombre del archivo, un atacante puede proporcionar un valor de nombre de archivo diseñado que contenga secuencias transversales, escribiendo en una ruta de destino fuera del directorio de carga previsto», dijeron los mantenedores del proyecto en un aviso publicado la semana pasada. «Esto puede provocar la escritura arbitraria de archivos en el servidor».
Sin embargo, una explotación exitosa depende de un punto final de carga accesible. El problema, en esencia, reside en una función llamada «MultipartFile.move(ubicación, opciones)» que permite mover un archivo a la ubicación especificada. El parámetro «opciones» tiene dos valores: el nombre de un archivo y un indicador de sobrescritura que indica «verdadero» o «falso».
El problema surge cuando el parámetro de nombre no se pasa como entrada, lo que hace que la aplicación adopte de forma predeterminada un nombre de archivo de cliente no desinfectado que abre la puerta al recorrido de ruta. Esto, a su vez, permite a un atacante elegir un destino arbitrario de su agrado y sobrescribir archivos confidenciales, si el indicador de sobrescritura está configurado en «verdadero».
«Si el atacante puede sobrescribir el código de la aplicación, los scripts de inicio o los archivos de configuración que luego se ejecutan/cargan, la RCE (ejecución remota de código) es posible», dijo AdonisJS. «RCE no está garantizado y depende de los permisos del sistema de archivos, el diseño de implementación y el comportamiento de la aplicación/tiempo de ejecución».
El problema, descubierto e informado por Hunter Wodzenski (@wodzen) afecta a las siguientes versiones:
Fallo en la biblioteca jsPDF npm
El desarrollo coincide con la divulgación de otra vulnerabilidad de recorrido de ruta en un paquete npm llamado jsPDF (CVE-2025-68428, puntuación CVSS: 9.2) que podría explotarse para pasar rutas no desinfectadas y recuperar el contenido de archivos arbitrarios en el sistema de archivos local que ejecuta el proceso del nodo.
La vulnerabilidad se parchó en la versión 4.0.0 de jsPDF lanzada el 3 de enero de 2026. Como solución alternativa, se recomienda utilizar el indicador –permission para restringir el acceso al sistema de archivos. Un investigador llamado Kwangwoon Kim ha sido reconocido por informar del error.
«El contenido del archivo se incluye palabra por palabra en los PDF generados», dijo Parallax, los desarrolladores de la biblioteca de generación de PDF JavaScript. «Solo las compilaciones node.js de la biblioteca se ven afectadas, es decir, los archivos dist/jspdf.node.js y dist/jspdf.node.min.js».