Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-05098

Опубликовано: 08 апр. 2026
Источник: fstec
CVSS3: 8.6
CVSS2: 9
EPSS Низкий

Описание

Уязвимость функции protectWhitespace() библиотеки FTP-клиента basic-ftp программной платформы Node.js связана с непринятием мер по нейтрализации последовательностей CRLF. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

basic-ftp

Версия ПО

до 5.2.1 (basic-ftp)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,6)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к уязвимому программному обеспечению;
- сегментирование сети для ограничения доступа к уязвимому программному обеспечению;
- использование SIEM-систем для отслеживания событий, связанных с FTP-подключениями;
- ограничение доступа к уязвимому программному обеспечению из внешних сетей (Интернет).
Использование рекомендаций:
Обновление программного обеспечения до версии 5.2.1 и выше
https://github.com/patrickjuchli/basic-ftp/releases/tag/v5.2.1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 81%
0.0156
Низкий

8.6 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2026-39983

CVSS3: 8.6
ubuntu
5 дней назад

basic-ftp is an FTP client for Node.js. Prior to 5.2.1, basic-ftp allows FTP command injection via CRLF sequences (\r\n) in file path parameters passed to high-level path APIs such as cd(), remove(), rename(), uploadFrom(), downloadTo(), list(), and removeDir(). The library's protectWhitespace() helper only handles leading spaces and returns other paths unchanged, while FtpContext.send() writes the resulting command string directly to the control socket with \r\n appended. This lets attacker-controlled path strings split one intended FTP command into multiple commands. This vulnerability is fixed in 5.2.1.

redhat логотип

CVE-2026-39983

CVSS3: 8.6
redhat
6 дней назад

A flaw was found in basic-ftp, an FTP client for Node.js. A remote attacker can exploit this vulnerability by injecting Carriage Return Line Feed (CRLF) sequences into file path parameters used by high-level APIs. This allows the attacker to split a single intended FTP command into multiple commands. Such command injection can lead to the execution of arbitrary commands, potentially compromising the integrity and availability of data or the system.

nvd логотип

CVE-2026-39983

CVSS3: 8.6
nvd
6 дней назад

basic-ftp is an FTP client for Node.js. Prior to 5.2.1, basic-ftp allows FTP command injection via CRLF sequences (\r\n) in file path parameters passed to high-level path APIs such as cd(), remove(), rename(), uploadFrom(), downloadTo(), list(), and removeDir(). The library's protectWhitespace() helper only handles leading spaces and returns other paths unchanged, while FtpContext.send() writes the resulting command string directly to the control socket with \r\n appended. This lets attacker-controlled path strings split one intended FTP command into multiple commands. This vulnerability is fixed in 5.2.1.

debian логотип

CVE-2026-39983

CVSS3: 8.6
debian
6 дней назад

basic-ftp is an FTP client for Node.js. Prior to 5.2.1, basic-ftp allo ...

github логотип

GHSA-chqc-8p9q-pq6q

CVSS3: 8.6
github
7 дней назад

basic-ftp has FTP Command Injection via CRLF

EPSS

Процентиль: 81%
0.0156
Низкий

8.6 High

CVSS3

9 Critical

CVSS2