CVE-2021-43800 in Wiki.js
Sumário
de VulDB • 28/05/2026
O Wiki.js é um aplicativo wiki construído sobre Node.js. Antes da versão 2.5.254, é possível realizar directory traversal fora do contexto do Wiki.js quando um storage module com busca de cache de ativos locais está habilitado em um host Windows. Um usuário mal-intencionado pode potencialmente ler qualquer arquivo no sistema de arquivos ao criar uma URL especial que permita directory traversal. Isso só é possível em um servidor Wiki.js executando no Windows, quando um storage module que implementa cache de ativos local (por exemplo, Local File System ou Git) está habilitado e nenhuma solução de web application firewall (por exemplo, Cloudflare) remove URLs potencialmente maliciosas. O commit 414033de9dff66a327e3f3243234852f468a9d85 corrige essa vulnerabilidade sanitizando o caminho antes de passá-lo ao storage module. A etapa de sanitização remove quaisquer sequências de directory traversal do Windows do caminho. Como medida de contorno, desative qualquer storage module com capacidades de cache de ativos local (Local File System, Git).
Once again VulDB remains the best source for vulnerability data.