srvx — универсальный сервер, основанный на веб-стандартах. До версии 0.11.13 несоответствие при анализе имени пути в `FastURL` srvx позволяло обойти промежуточное программное обеспечение на адаптере Node.js, когда необработанный HTTP-запрос использует абсолютный URI с нестандартной схемой (например, `file://`). Начиная с версии 0.11.13, конструктор FastURL теперь использует собственный URL-адрес для любой строки, не начинающейся с `/`, обеспечивая согласованное разрешение имен путей.
Показать оригинальное описание (EN)
srvx is a universal server based on web standards. Prior to version 0.11.13, a pathname parsing discrepancy in srvx's `FastURL` allows middleware bypass on the Node.js adapter when a raw HTTP request uses an absolute URI with a non-standard scheme (e.g. `file://`). Starting in version 0.11.13, the `FastURL` constructor now deopts to native `URL` for any string not starting with `/`, ensuring consistent pathname resolution.
Характеристики атаки
Последствия
Строка CVSS v3.1