Omzeiling door validatie vóór canonicalisatie in serve

Versies van `serve` vóór 6.5.2 zijn kwetsbaar voor het omzeilen van de negeerfunctionaliteit. De omzeiling is mogelijk omdat validatie plaatsvindt vóór de canonicalisatie van paden en bestandsnamen. Voorbeeld: Hier hebben we een server die het bestand test.txt negeert. ``` const serve = require('serve') const server = serve(__dirname, { port: 1337, ignore: ['test.txt'] }) ``` Door de URL-gecodeerde vorm van een letter te gebruiken (%65 in plaats van e) kan een aanvaller de negeercontrole omzeilen en toegang krijgen tot het bestand. `curl http://localhost:1337/t%65st.txt` Daarnaast kan deze techniek worden gebruikt om directory listings te krijgen van genegeerde directories. ## Aanbeveling Update naar versie 6.5.2 of later.