security(posimai-dev): セッション API パストラバーサル修正

/api/sessions/:id で path.join 後に SESSIONS_DIR 外への逸脱を検証。正常な ID（UUID 等）には影響なし。requireLocal により localhost/Tailscale 限定だが念のため多層防御。
2026-04-24 20:48:06 +09:00 · 2026-04-24 20:48:06 +09:00 · 33100d9efc
parent 7c6ecb77bc
commit 33100d9efc
1 changed files with 1 additions and 0 deletions
--- a/posimai-dev/server.js
+++ b/posimai-dev/server.js
@ -73,6 +73,7 @@ app.get('/api/sessions', requireLocal, (req, res) => {
 // セッション内容 API
 app.get('/api/sessions/:id', requireLocal, (req, res) => {
  const file = path.join(SESSIONS_DIR, req.params.id + '.log');
+  if (!file.startsWith(SESSIONS_DIR + path.sep)) return res.status(400).json({ error: 'invalid' });
  if (!fs.existsSync(file)) return res.status(404).json({ error: 'not found' });
  res.type('text/plain').send(fs.readFileSync(file, 'utf8'));
 });