CVE-2026-48049 in inertИнформация

Сводка

по VulDB • 17.07.2026

@hapi/inert предоставляет обработчики статических файлов и каталогов для hapi.js. В версиях от 4.0.0 до 7.1.0 @hapi/inert обслуживает статические файлы из каталога, указанного в параметре path обработчиков каталогов или файлов либо в relativeTo для метода h.file(), при этом ограничение доступа (confinement) обеспечивается опцией confine. Однако проверка confinement сравнивала разрешенный абсолютный путь с ограничивающим каталогом с помощью простой проверки префикса строки, из-за чего побочный каталог, такой как /app/static-secret рядом с /app/static, ошибочно принимался за допустимый. Это позволяло неавторизованному удаленному злоумышленнику читать файлы через путь вида /..%2fstatic-secret/secret.txt. Проблема исправлена в версии 7.1.1.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Ответственный

GitHub M

Резервировать

20.05.2026

Раскрытие

18.07.2026

Модерация

принято

Вход

VDB-379985

EPSS

0.00000

KEV

Нет

Деятельности

Низкий

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!