CVE-2026-48049 in inert
Zusammenfassung
von VulDB • 17.07.2026
@hapi/inert bietet Handler für statische Dateien und Verzeichnisse für hapi.js. Von Version 4.0.0 bis 7.1.0 stellt @hapi/inert statische Dateien aus einem Verzeichnis bereit, das in den Directory- oder File-Handlern über die Option `path` konfiguriert wurde bzw. relativ zu `relativeTo` für `h.file()` steht; die Einschränkung (Confinement) wird durch die Option `confine` erzwungen. Die Confinement-Prüfung vergleicht jedoch den aufgelösten absoluten Pfad mit dem confine-Verzeichnis mittels eines rohen String-Prefix-Tests, sodass ein Geschwisterverzeichnis wie `/app/static-secret`, das neben `/app/static` liegt, fälschlicherweise akzeptiert wurde. Dies konnte einem nicht authentifizierten Remote-Angriff ermöglichen, Dateien über `/../%2fstatic-secret/secret.txt` zu lesen. Dieses Problem ist in Version 7.1.1 behoben.
If you want to get best quality of vulnerability data, you may have to visit VulDB.