Usuários do pacote npm ‘@adonisjs/bodyparser’ são alertados para atualizar para a versão mais recente após a descoberta de uma vulnerabilidade crítica de segurança, identificada como CVE-2026-21440, com uma pontuação CVSS de 9.2. Essa falha é um problema de travessia de caminho que afeta o mecanismo de manipulação de arquivos multipart do AdonisJS, um framework Node.js utilizado para desenvolver aplicações web e servidores de API com TypeScript. A vulnerabilidade permite que um atacante remoto escreva arquivos arbitrários no servidor, caso consiga explorar um endpoint de upload acessível. O problema reside na função ‘MultipartFile.move(location, options)’, onde a falta de sanitização do nome do arquivo pode permitir que um invasor forneça um nome de arquivo malicioso, levando a uma possível execução remota de código (RCE). A falha foi corrigida nas versões 10.1.2 e 11.0.0-next.6. Além disso, uma vulnerabilidade semelhante foi identificada no pacote jsPDF, também com uma pontuação CVSS de 9.2, que permite a leitura de arquivos arbitrários no sistema de arquivos local. As correções para ambas as vulnerabilidades foram lançadas recentemente, e os desenvolvedores são aconselhados a aplicar as atualizações imediatamente.
Fonte: https://thehackernews.com/2026/01/critical-adonisjs-bodyparser-flaw-cvss.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
06/01/2026 • Risco: ALTO
VULNERABILIDADE
Vulnerabilidade crítica no pacote npm '@adonisjs/bodyparser'
RESUMO EXECUTIVO
As vulnerabilidades CVE-2026-21440 e CVE-2025-68428 representam riscos significativos para aplicações que utilizam os pacotes '@adonisjs/bodyparser' e 'jsPDF'. A exploração dessas falhas pode levar a consequências severas, incluindo a execução remota de código e a exposição de dados sensíveis, o que requer atenção imediata dos CISOs.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido a exploração de vulnerabilidades e danos à reputação.
Operacional
Possibilidade de escrita de arquivos arbitrários e execução remota de código.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software', 'Serviços Financeiros']
📊 INDICADORES CHAVE
Pontuação CVSS de 9.2 para ambas as vulnerabilidades.
Indicador
Versões afetadas do '@adonisjs/bodyparser' até 10.1.1 e 11.0.0-next.5.
Contexto BR
Correção disponível nas versões 10.1.2 e 11.0.0-next.6.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se as versões do '@adonisjs/bodyparser' e 'jsPDF' estão atualizadas.
2
Aplicar patches disponíveis imediatamente para mitigar os riscos.
3
Monitorar logs de acesso e tentativas de upload para identificar possíveis tentativas de exploração.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a possibilidade de exploração de vulnerabilidades críticas que podem comprometer a integridade e a segurança das aplicações web, especialmente em um cenário onde a proteção de dados é essencial.
⚖️ COMPLIANCE
Implicações legais e de compliance com a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
