CVE-2026-48049 in inertالمعلومات

الملخص

بحسب VulDB • 18/07/2026

يوفر @hapi/inert معالجات للملفات والمجلدات الثابتة الخاصة بـ hapi.js. من الإصدار 4.0.0 إلى 7.1.0، كان @hapi/inert يخدم الملفات الثابتة من مجلد تم تكوينه باستخدام المسار في معالجات المجلد أو الملف، أو relativeTo لـ h.file()، حيث يتم فرض الحجز (confinement) بواسطة خيار confine. ومع ذلك، كانت عملية فحص الحجز تقارن المسار المطلق المحلّل بمسار دليل confinement باستخدام اختبار بادئة سلسلة خام (raw string-prefix test)، مما أدى إلى قبول مجلد شقيق مثل /app/static-secret المجاور لـ /app/static بشكل غير صحيح، وهو ما كان يمكن أن يسمح لمهاجم عن بُعد وغير مصرّح له بقراءة الملفات عبر المسار /..%2fstatic-secret/secret.txt. تم إصلاح هذه المشكلة في الإصدار 7.1.1.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub M

حجز

20/05/2026

إفشاء

17/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379985

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!