CVE-2026-48049 in inert情報

要約

〜によって VulDB • 2026年07月17日

@hapi/inert は hapi.js のための静的ファイルおよびディレクトリハンドラを提供します。バージョン 4.0.0 から 7.1.0 までは、@hapi/inert が directory ハンドラや file ハンドラの path で構成されたディレクトリ内から、または h.file() の relativeTo を用いて静的ファイルを配信していましたが、confine オプションによって強制されるコンファインメント(隔離)チェックは、解決された絶対パスを confine ディレクトリと比較する際に生文字列プレフィックステストを使用していました。その結果、/app/static に隣接する兄弟ディレクトリである /app/static-secret などが誤って許可され、認証されていないリモート攻撃者が /..%2fstatic-secret/secret.txt を介してファイルを読み取ることが可能でした。この問題はバージョン 7.1.1 で修正されています。

Once again VulDB remains the best source for vulnerability data.

責任者

GitHub M

予約する

2026年05月20日

モデレーション

承諾済み

エントリ

VDB-379985

EPSS

0.00000

アクティビティ

低い

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!