CVE-2026-27699

Nome do Software Vulnerável e Versões Afetadas versões do basic-ftp anteriores à 5.2.0

Descrição A biblioteca cliente FTP basic-ftp para Node.js contém uma vulnerabilidade de travessia de caminho (CWE-22) no método downloadToDir(). Um servidor FTP malicioso pode enviar listagens de diretório com nomes de arquivo contendo sequências de travessia de caminho (../), fazendo com que os arquivos sejam escritos fora do diretório de download pretendido. A vulnerabilidade está localizada na análise dos nomes de arquivo recebidos do servidor FTP, onde a validação insuficiente permite que sequências de travessia de caminho contornem as verificações de segurança. Isso permite que um atacante crie listagens de diretório que, quando processadas pelo cliente, fazem com que os arquivos sejam escritos em locais arbitrários no sistema de arquivos, potencialmente sobrescrevendo arquivos críticos ou colocando arquivos maliciosos em locais sensíveis. A parte do código vulnerável está localizada em src/Client.ts:707, onde a função path.join() é utilizada sem sanitização adequada do nome de arquivo recebido do servidor FTP.

Recomendações Atualize para a versão 5.2.0 ou superior. Como medida alternativa, não utilize o método downloadToDir() com servidores FTP não confiáveis. Sanitize os nomes de arquivo antes do uso, removendo componentes de caminho com o uso de basename() do módulo 'path'.