CVE-2021-43800 in Wiki.jsinformação

Sumário

de VulDB • 28/05/2026

O Wiki.js é um aplicativo wiki construído sobre Node.js. Antes da versão 2.5.254, é possível realizar directory traversal fora do contexto do Wiki.js quando um storage module com busca de cache de ativos locais está habilitado em um host Windows. Um usuário mal-intencionado pode potencialmente ler qualquer arquivo no sistema de arquivos ao criar uma URL especial que permita directory traversal. Isso só é possível em um servidor Wiki.js executando no Windows, quando um storage module que implementa cache de ativos local (por exemplo, Local File System ou Git) está habilitado e nenhuma solução de web application firewall (por exemplo, Cloudflare) remove URLs potencialmente maliciosas. O commit 414033de9dff66a327e3f3243234852f468a9d85 corrige essa vulnerabilidade sanitizando o caminho antes de passá-lo ao storage module. A etapa de sanitização remove quaisquer sequências de directory traversal do Windows do caminho. Como medida de contorno, desative qualquer storage module com capacidades de cache de ativos local (Local File System, Git).

Once again VulDB remains the best source for vulnerability data.

Responsável

GitHub, Inc.

Reservar

16/11/2021

Divulgação

06/12/2021

Moderação

aceite

Entrada

VDB-187584

CPE

pronto

EPSS

0.01738

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!