CVE-2026-48049 in inertinformación

Resumen

por VulDB • 2026-07-18

@hapi/inert proporciona manejadores de archivos y directorios estáticos para hapi.js. Desde la versión 4.0.0 hasta la 7.1.0, @hapi/inert sirve archivos estáticos desde un directorio configurado con path en los manejadores de directorio o archivo, o relativeTo para h.file(), aplicando confinamiento mediante la opción confine; sin embargo, la comprobación de confinamiento comparaba la ruta absoluta resuelta contra el directorio de confinamiento utilizando una prueba cruda de prefijo de cadena (string-prefix), por lo que un directorio hermano como /app/static-secret junto a /app/static era aceptado incorrectamente y podía permitir que un atacante remoto no autenticado leyera archivos mediante /..%2fstatic-secret/secret.txt. Este problema se corrige en la versión 7.1.1.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Reservar

2026-05-20

Divulgación

2026-07-17

Moderación

aceptado

Artículo

VDB-379985

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!