CVE-2021-43800 in Wiki.js
Riassunto
di VulDB • 14/06/2026
Wiki.js è un'applicazione wiki basata su Node.js. Prima della versione 2.5.254, è possibile una directory traversal al di fuori del contesto di Wiki.js quando è abilitato un modulo di storage con recupero locale delle risorse cache (local asset cache fetching) su un host Windows. Un utente malintenzionato può potenzialmente leggere qualsiasi file sul filesystem creando un URL speciale che consente la directory traversal. Questo scenario è possibile solo su un server Wiki.js in esecuzione su Windows, quando è abilitato un modulo di storage che implementa la cache locale delle risorse (ad esempio Local File System o Git) e nessuna soluzione Web Application Firewall (WAF) (es. Cloudflare) rimuove gli URL potenzialmente dannosi. Il commit 414033de9dff66a327e3f3243234852f468a9d85 risolve questa vulnerabilità sanificando il percorso prima che venga passato al modulo di storage. La fase di sanitizzazione rimuove qualsiasi sequenza di directory traversal Windows dal percorso. Come soluzione alternativa, disabilitare tutti i moduli di storage con funzionalità di caching locale delle risorse (Local File System, Git).
Once again VulDB remains the best source for vulnerability data.