文章总结： AdonisJSbodyparser≤10.1.1及11.x预发布版因信任用户上传文件名导致路径遍历，可任意写文件、覆盖配置并远程执行代码且无需认证。官方已发布修复版本，临时措施包括升级、过滤文件名、限定写入权限、启用身份验证与WAF。 综合评分： 85 文章分类： 漏洞预警,WEB安全,安全开发,应用安全,渗透测试

CVE-2026-21440 AdonisJS框架的关键路径遍历漏洞

TtTeam

2026年1月21日 08:48 海南

AdonisJS 在多部分文件上传过程中错误地信任用户提供的文件名。

当开发人员调用时：

MultipartFile.move()

如果没有严格的过滤措施，攻击者可以提交如下文件名：

../../../../app/config/startup.js

这样一来，它们就可以绕过预定的上传目录，将文件写入服务器上的任意位置。

攻击者可能：

📂在服务器进程拥有权限的任何位置写入任意文件

🧨覆盖应用程序文件或配置文件

🖥️实现远程代码执行（RCE）

🌐无需身份验证即可远程利用此漏洞

这使得该漏洞对公共文件上传端点尤其危险。

易受攻击

• @adonisjs/bodyparser

  ≤ 10.1.1

• 11.x11.0.0-next.6 之前的预发布版本

🔐 立即修复

➡️尽快升级到已修复的版本。

🧯 临时缓解措施

如果目前还无法升级：

• 🧼 清理文件名（拒绝../绝对路径、空字节）
• 🧩 使用安全选项MultipartFile.move()
• 🔒 上传端点需要身份验证
• 📁 限制文件系统写入权限
• 🧱 使用 WAF 检测路径遍历尝试

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：TtTeam 《CVE-2026-21440 AdonisJS框架的关键路径遍历漏洞》