文章总结： AdonisJS框架组件@adonisjs/bodyparser存在严重漏洞CVE-2026-21440，CVSS评分9.2。该漏洞因文件保存函数默认使用未清理客户端文件名及开启覆写模式，导致路径遍历及任意文件写入，进而可能引发RCE。受影响版本包括10.1.1及以前，建议立即更新至10.1.2或11.0.0-next.6修复。 综合评分： 85 文章分类： 漏洞预警,漏洞分析,WEB安全,应用安全

AdonisJS 9.2 框架存在严重漏洞，可导致任意文件写入和RCE

Ddos

代码卫士

2026年1月6日 17:54 北京

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

以注重人体工程学设计和运行速度著称的热门Node.js全栈 web 框架 AdonisJS 的文件上传处理中存在一个严重漏洞（CVE-2026-21440，CVSS评分9.2），可导致远程攻击者覆写敏感系统文件，甚至实现远程代码执行 (RCE)。

该漏洞影响用于解析多部分表单数据的核心组件 @adonisjs/bodyparser 包。当开发人员使用 MultipartFile.move(location,options) 函数保存已上传的文件时，该系统依赖于本不应信任的信任。

安全公告解释称，“如未提供 options.name 参数，则系统默认为未清理的客户端文件名称，并通过 path.join(location,name) 构建目标路径。”这就导致攻击者提供一个包含遍历序列（如 ../../）的构造的文件名称。由于系统将该恶意名称与目标目录连接，因此该文件能够“突破默认的或由开发人员选择的预期目录”，最终存放到该进程能够访问的服务器文件系统上的任何地方。更具风险的是，默认设置具有过度许可性：“若未提供 options.overwrite参数，则系统默认启用覆写模式，导致文件被覆写。”

这种“任意文件写入”漏洞的影响远超简单的破坏行为，如果攻击者能够覆写特定文件，则实际可控制服务器。分析报告提到，“如果攻击者能够覆写应用代码、启动脚本或者配置随后被执行/加载的配置文件，则很有可能实现RCE。”

虽然并不一定能够实现RCE，具体取决于文件权限和部署布局，但攻陷整个系统的可能性很大。安全公告也提到，之前的文档版本可能演示了可导致开发人员陷入这种“易受攻击代码路径”的示例，也加剧了该问题的严重性。

该漏洞影响使用 bodyparser 包的大量安装版本：

• @adonisjs/bodyparser 10.1.1及之前版本
• 早于11.0.0-next.6的预发布版本11.x

维护人员已为这两个主要版本发布修复方案。建议开发人员立即更新其依赖关系至10.1.2版本和11.0.0-next.6版本。此外，若需官方版本注释和补丁，可参见该项目的GitHub 仓库。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

MongoDB库中存在多个漏洞，可用于在Node.js服务器上实现RCE

Node.js 修复多个漏洞，可导致RCE和HTTP请求走私

Node.js 沙箱易受原型污染攻击

原文链接

CVE-2026-21440: New AdonisJS 9.2 Critical Flaw Allows Arbitrary File Writes and RCE

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Ddos《AdonisJS 9.2 框架存在严重漏洞，可导致任意文件写入和RCE》