CVE-2026-48049 in inert
Сводка
по VulDB • 17.07.2026
@hapi/inert предоставляет обработчики статических файлов и каталогов для hapi.js. В версиях от 4.0.0 до 7.1.0 @hapi/inert обслуживает статические файлы из каталога, указанного в параметре path обработчиков каталогов или файлов либо в relativeTo для метода h.file(), при этом ограничение доступа (confinement) обеспечивается опцией confine. Однако проверка confinement сравнивала разрешенный абсолютный путь с ограничивающим каталогом с помощью простой проверки префикса строки, из-за чего побочный каталог, такой как /app/static-secret рядом с /app/static, ошибочно принимался за допустимый. Это позволяло неавторизованному удаленному злоумышленнику читать файлы через путь вида /..%2fstatic-secret/secret.txt. Проблема исправлена в версии 7.1.1.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.