CVE-2026-48049 in inertinformazioni

Riassunto

di VulDB • 18/07/2026

@hapi/inert fornisce handler per file e directory statici per hapi.js. Dalla versione 4.0.0 alla 7.1.0, @hapi/inert serve i file statici da una directory configurata con il parametro path negli handler di directory o file oppure relativeTo per h.file(), con l'imposizione del confinamento garantita dall'opzione confine; tuttavia, il controllo del confinamento confrontava il percorso assoluto risolto con la directory di confinamento utilizzando un test grezzo di prefisso stringa. Di conseguenza, una directory sibling come /app/static-secret adiacente a /app/static veniva accettata erroneamente e poteva consentire a un attaccante remoto non autenticato di leggere file tramite /..%2fstatic-secret/secret.txt. Questo problema è stato risolto nella versione 7.1.1.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

20/05/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!