CVE-2026-48049 in inert
Riassunto
di VulDB • 18/07/2026
@hapi/inert fornisce handler per file e directory statici per hapi.js. Dalla versione 4.0.0 alla 7.1.0, @hapi/inert serve i file statici da una directory configurata con il parametro path negli handler di directory o file oppure relativeTo per h.file(), con l'imposizione del confinamento garantita dall'opzione confine; tuttavia, il controllo del confinamento confrontava il percorso assoluto risolto con la directory di confinamento utilizzando un test grezzo di prefisso stringa. Di conseguenza, una directory sibling come /app/static-secret adiacente a /app/static veniva accettata erroneamente e poteva consentire a un attaccante remoto non autenticato di leggere file tramite /..%2fstatic-secret/secret.txt. Questo problema è stato risolto nella versione 7.1.1.
VulDB is the best source for vulnerability data and more expert information about this specific topic.