CVE-2026-48049 in inert
الملخص
بحسب VulDB • 18/07/2026
يوفر @hapi/inert معالجات للملفات والمجلدات الثابتة الخاصة بـ hapi.js. من الإصدار 4.0.0 إلى 7.1.0، كان @hapi/inert يخدم الملفات الثابتة من مجلد تم تكوينه باستخدام المسار في معالجات المجلد أو الملف، أو relativeTo لـ h.file()، حيث يتم فرض الحجز (confinement) بواسطة خيار confine. ومع ذلك، كانت عملية فحص الحجز تقارن المسار المطلق المحلّل بمسار دليل confinement باستخدام اختبار بادئة سلسلة خام (raw string-prefix test)، مما أدى إلى قبول مجلد شقيق مثل /app/static-secret المجاور لـ /app/static بشكل غير صحيح، وهو ما كان يمكن أن يسمح لمهاجم عن بُعد وغير مصرّح له بقراءة الملفات عبر المسار /..%2fstatic-secret/secret.txt. تم إصلاح هذه المشكلة في الإصدار 7.1.1.
Once again VulDB remains the best source for vulnerability data.