Saldırının Genel Çerçevesi
Node.js ekosisteminde yaygın kullanılan AdonisJS çatısına ait @adonisjs/bodyparser paketinde, CVE-2026-21440 kodlu kritik bir yol geçişi açığı keşfedildi. Bu zafiyet, dosya yükleme işlemlerinde kullanılan MultipartFile.move() fonksiyonunun, dosya adı parametresi uygun şekilde temizlenmediğinde, saldırganların sunucu üzerinde hedef dışı dizinlere rastgele dosya yazmasına olanak tanıyor. CVSS puanı 9.2 olan bu açık, özellikle API sunucuları ve web uygulamalarını hedef alıyor. Benzer şekilde, jsPDF paketinde (CVE-2025-68428) de yol geçişi kaynaklı dosya okuma açığı tespit edildi. Bu zafiyet, node.js ortamında çalışan uygulamalarda yerel dosya sisteminden yetkisiz içerik erişimine yol açabiliyor.
Hangi Sistemler Risk Altında?
AdonisJS bodyparser açığı, 10.1.1 ve altı ile 11.0.0-next.5 ve altı sürümleri etkiliyor; 10.1.2 ve 11.0.0-next.6 sürümlerinde sorun giderildi. Bu paket, TypeScript ile geliştirilen Node.js tabanlı web ve API sunucularında HTTP istek gövdesini işlemek için kullanılıyor. Dolayısıyla, bu tür uygulamalar ve özellikle dosya yükleme uç noktaları risk altında. jsPDF açığı ise, özellikle node.js üzerinde PDF oluşturma işlemi yapan uygulamalarda, dist/jspdf.node.js ve dist/jspdf.node.min.js dosyalarını kullanan sistemlerde etkili. Her iki zafiyet de, özellikle bulut tabanlı ve mikroservis mimarilerinde dosya sistemi erişim kontrollerinin zayıf olduğu ortamlarda daha kritik hale geliyor.
Saldırı Zinciri ve Teknik Detaylar
AdonisJS açığında saldırgan, MultipartFile.move() fonksiyonuna temizlenmemiş ve yol geçiş dizileri içeren dosya adı vererek, dosyayı hedeflenen yükleme dizini dışına taşıyabiliyor. Bu, dosya sistemi izinlerine bağlı olarak hassas yapılandırma dosyalarının veya uygulama başlangıç betiklerinin üzerine yazılmasına ve potansiyel olarak uzak kod yürütülmesine (RCE) yol açabilir. Bu istismar zinciri MITRE ATT&CK’ta T1105 (Dosya Transferi) ve T1548 (Hak Yükseltme) tekniklerine benzerlik gösterir.
jsPDF açığında ise, temizlenmemiş dosya yolları kullanılarak node.js sürecinin erişebildiği yerel dosyalardan rastgele içerik okunabiliyor. Bu, bilgi sızıntısı ve potansiyel olarak sonraki saldırılar için keşif aşamasında kullanılabilir.
Sistem Yöneticileri ve SOC Ekipleri İçin Öneriler
- Etkin paket sürümlerini düzenli olarak kontrol edin ve @adonisjs/bodyparser paketini 10.1.2 veya üzeri, jsPDF paketini ise 4.0.0 veya üzeri sürüme güncelleyin.
- Dosya yükleme uç noktalarında yol geçişi kontrollerini ve dosya adı temizleme mekanizmalarını uygulayın.
- EDR ve SIEM sistemlerinde MultipartFile.move() fonksiyonunun anormal kullanımına dair özel kurallar oluşturun.
- Uygulama ve sistem loglarında dosya yükleme ve taşıma işlemlerini detaylı şekilde kaydedin ve düzenli analiz edin.
- Dosya sistemi izinlerini en az ayrıcalık prensibine göre yapılandırarak kritik dosyaların üzerine yazılmasını engelleyin.
- Bulut ortamlarında ağ segmentasyonu ve IAM politikaları ile dosya sistemine erişimi kısıtlayın.
- Olay müdahale (incident response) planlarında yol geçişi ve dosya sistemi istismarlarına karşı prosedürler oluşturun.
- Geliştiricilere e-posta güvenliği ve güvenli kodlama eğitimleri vererek, uygulama katmanında önleyici tedbirler alın.
Kurumsal Ortamlarda Olası Senaryo
Bir SaaS sağlayıcısının API sunucusunda @adonisjs/bodyparser paketinin eski sürümü kullanılıyor. Saldırgan, özel hazırlanmış dosya adları ile yol geçişi yaparak, uygulamanın yapılandırma dosyalarını değiştirip, arka kapı oluşturabilir. Bu durum, fidye yazılımı saldırılarında başlangıç noktası olabilir. Aynı zamanda jsPDF açığı, raporlama modülünde yerel dosya sisteminden kritik verilerin sızmasına neden olabilir. Bu tür senaryolarda, bulut güvenliği ve ağ segmentasyonu kritik öneme sahiptir.