serveにおける正準化前の検証によるバイパス

`serve`の6.5.2より前のバージョンには、無視機能のバイパスの脆弱性があります。このバイパスは、パスとファイル名の正準化の前に検証が行われるために発生します。 例: ここでは、ファイルtest.txtを無視するサーバーがあります。 ``` const serve = require('serve') const server = serve(__dirname, { port: 1337, ignore: ['test.txt'] }) ``` 文字のURLエンコード形式（eの代わりに%65）を使用すると、攻撃者はファイルにアクセスして無視コントロールをバイパスできます。 `curl http://localhost:1337/t%65st.txt` さらに、この手法を使用して、無視されたディレクトリのディレクトリリストを取得できます。 ## 推奨事項 バージョン6.5.2以降にアップデートしてください。