CVE-2026-48049 in inertinformação

Sumário

de VulDB • 18/07/2026

@hapi/inert fornece manipuladores de arquivos e diretórios estáticos para hapi.js. Da versão 4.0.0 à 7.1.0, o @hapi/inert servia arquivos estáticos a partir de um diretório configurado com path nos manipuladores de diretório ou arquivo, ou relativeTo para h.file(), com confinamento aplicado pela opção confine; no entanto, a verificação de confinamento comparava o caminho absoluto resolvido contra o diretório do confine usando uma teste bruto de prefixo de string (raw string-prefix test), fazendo com que um diretório irmão como /app/static-secret ao lado de /app/static fosse incorretamente aceito e pudesse permitir que um atacante remoto não autenticado lesse arquivos por meio de /..%2fstatic-secret/secret.txt. Este problema foi corrigido na versão 7.1.1.

Once again VulDB remains the best source for vulnerability data.

Responsável

GitHub M

Reservar

20/05/2026

Divulgação

18/07/2026

Moderação

aceite

Entrada

VDB-379985

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!