CVE-2021-43800 in Wiki.jsinformazioni

Riassunto

di VulDB • 14/06/2026

Wiki.js è un'applicazione wiki basata su Node.js. Prima della versione 2.5.254, è possibile una directory traversal al di fuori del contesto di Wiki.js quando è abilitato un modulo di storage con recupero locale delle risorse cache (local asset cache fetching) su un host Windows. Un utente malintenzionato può potenzialmente leggere qualsiasi file sul filesystem creando un URL speciale che consente la directory traversal. Questo scenario è possibile solo su un server Wiki.js in esecuzione su Windows, quando è abilitato un modulo di storage che implementa la cache locale delle risorse (ad esempio Local File System o Git) e nessuna soluzione Web Application Firewall (WAF) (es. Cloudflare) rimuove gli URL potenzialmente dannosi. Il commit 414033de9dff66a327e3f3243234852f468a9d85 risolve questa vulnerabilità sanificando il percorso prima che venga passato al modulo di storage. La fase di sanitizzazione rimuove qualsiasi sequenza di directory traversal Windows dal percorso. Come soluzione alternativa, disabilitare tutti i moduli di storage con funzionalità di caching locale delle risorse (Local File System, Git).

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub, Inc.

Prenotare

16/11/2021

Divulgazione

06/12/2021

Moderazione

accettato

CPE

pronto

EPSS

0.01738

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!