CVE-2021-43800 in Wiki.js情報

要約

〜によって VulDB • 2026年05月28日

Wiki.jsはNode.js上で構築されたWikiアプリケーションです。バージョン2.5.254より前では、Windowsホスト上でローカルアセットキャッシュフェッチ機能を持つストレージモジュールが有効になっている場合、Wiki.jsのコンテキスト外でのディレクトリトラバーサルが可能になります。悪意のあるユーザーは、ディレクトリトラバーサルを可能にする特殊なURLを生成することで、ファイルシステム上の任意のファイルを参照できる可能性があります。この脆弱性は、Windows上で実行されているWiki.jsサーバーにおいて、ローカルアセットキャッシュを実装するストレージモジュール(例:ローカルファイルシステムまたはGit)が有効化され、かつ、潜在的に悪意のあるURLを除去するWebアプリケーションファイアウォールソリューション(例:Cloudflareなど)が適用されていない場合にのみ発生します。コミット番号414033de9dff66a327e3f3243234852f468a9d85は、ストレージモジュールにパスが渡される前にパスをサニタイズすることで、この脆弱性を修正します。サニタイズ処理により、パス内のWindowsディレクトリトラバーサルシーケンスがすべて除去されます。回避策として、ローカルアセットキャッシュ機能を持つストレージモジュール(ローカルファイルシステム、Git)を無効にしてください。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub, Inc.

予約する

2021年11月16日

モデレーション

承諾済み

エントリ

VDB-187584

EPSS

0.01738

アクティビティ

非常低い

ソース

Do you need the next level of professionalism?

Upgrade your account now!