漏洞描述：

NodeBB 是基于 Node.js 的开源论坛系统。受影响版本中由于使用对象解构赋值语法解析用户导出路径，并且未对导出路径进行过滤，攻击者可构造恶意负载调用用户导出逻辑，在目标服务器中执行任意javascript文件。

影响范围：
nodebb[2.5.0, 2.8.7)

修复方案：
升级nodebb到 2.8.7 或更高版本
官方已发布补丁：https://github.com/NodeBB/NodeBB/commit/ec58700f6dff8e5b4af1544f6205ec362b593092

参考链接：
https://github.com/NodeBB/NodeBB/security/advisories/GHSA-vh2g-6c4x-5hmp

https://github.com/NodeBB/NodeBB/commit/ec58700f6dff8e5b4af1544f6205ec362b593092