Postgres-AI Database Lab Engine 中的 webpack-dev-middleware 路径遍历问题分析

Postgres-AI Database Lab Engine 是一款用于数据库开发和测试的开源工具。近期在其依赖的 webpack-dev-middleware 组件中发现了一个重要安全问题（CVE-2024-29180），可能允许未授权访问开发者机器上的特定文件。

问题背景

webpack-dev-middleware 是一个用于 webpack 的开发中间件，在开发环境中提供实时重载等功能。该问题影响5.3.4以下版本，主要在于URL地址验证需要加强。

技术细节

该问题的核心在于 getFilenameFromUrl 方法处理URL时需要改进：

1. 公共路径前缀从URL中被剥离
2. 未转义的路径后缀被直接附加到 outputPath
3. 由于URL在调用中间件前未自动进行转义和规范化处理
4. 可能利用 %2e 和 %2f 等编码序列实施路径访问

影响范围

该问题影响两种使用场景：

1. 当 writeToDisk 配置选项设为 true 时，可能访问物理文件系统
2. 使用虚拟化内存文件系统 memfs 时也存在潜在风险

具体影响包括：

• 开发服务器监听公共IP时，本地网络可能访问端口获取文件
• 服务器允许第三方域访问时，可能通过特定链接访问

解决方案

官方已在以下版本中解决此问题：

• 5.3.4
• 6.1.2
• 7.1.0

改进措施主要是对URL进行转义和规范化处理后再进行后续处理。

安全建议

对于使用 Postgres-AI Database Lab Engine 的开发者和用户，建议：

1. 立即检查项目中 webpack-dev-middleware 的版本
2. 升级到已修复的安全版本
3. 开发环境中避免将开发服务器暴露在公共网络
4. 限制开发服务器的访问来源

该问题虽然主要影响开发环境，但仍可能造成信息访问，建议所有用户及时采取防护措施。