serveにおけるパス・トラバーサル

CVE-2019-5415 は、serve において、攻撃者がパス操作によって隠されたファイルや許可されていないディレクトリにアクセスできる脆弱性です。7.0.1 より前の serve のバージョンは、このパストラバーサルの問題に脆弱です。具体的には、要求されたパスに /./ シーケンスを使用することで、定義されたフォルダ除外ルールを回避し、通常は保護されている機密コンテンツにアクセスできるようになる可能性があります。これには、構成ファイル、ソースコード、または機密データが含まれる可能性があり、serve を使用するアプリケーションまたはサーバーのセキュリティが損なわれる可能性があります。CVSS 重症度は 7.5 で、高いリスクを示しています。

Development teams using serve to serve static files during development are particularly at risk. Shared hosting environments where users have limited control over their server configuration are also vulnerable if the serve package is installed and not properly updated. Projects relying on older versions of serve in automated build pipelines are also exposed.

• nodejs / server:

  npm list serve

Check the version of serve installed in your project. If it's less than 7.0.1, you are vulnerable. • generic web: curl -I <yourserveurl>/../../../../etc/passwd Attempt to access sensitive files using path traversal. A successful response indicates a vulnerability.

1. 2019-03-25Disclosure

   disclosure

1. 予約済み2019-01-04
2. 公開日2019-03-25
3. 更新日2025-07-15
4. EPSS 更新日2026-04-02

この脆弱性を軽減するための推奨される解決策は、serve をバージョン 7.0.1 以降にアップグレードすることです。このバージョンは、/./ シーケンスを含むパスを正しく処理することで、パストラバーサル問題を修正します。アップグレードする前に、現在の構成を必ずバックアップしてください。さらに、アプリケーションのセキュリティポリシーを確認して、ファイルとディレクトリへの不正アクセスに対する追加の保護対策が講じられていることを確認してください。アップグレードは、この脆弱性から身を守り、データの整合性を維持するための最も効果的な方法です。