fix(packs-lab): sign-link path traversal — startswith → relative_to (CODE_REVIEW F1)

str(abs_path).startswith(str(PACK_HOST_DIR))는 trailing slash가 없어 sibling 경로(/foo/packs ↔ /foo/packs_evil)를 통과시켜 DSM API에 잘못된 호스트 경로를 전달할 수 있었음. Path.relative_to 기반으로 컴포넌트 단위 엄격 검증으로 교체. test_sign_link_rejects_sibling_path 회귀 테스트 추가 (RED → GREEN 검증).
2026-05-17 13:50:22 +09:00
parent 64fbbb7958
commit 1e5e1bcdff
2 changed files with 28 additions and 1 deletions
--- a/packs-lab/app/routes.py
+++ b/packs-lab/app/routes.py
@@ -133,8 +133,12 @@ async def sign_link(

    # 경로 안전: PACK_HOST_DIR(NAS 호스트 절대경로) 하위인지 확인.
    # file_path는 upload 라우트가 Supabase에 저장한 호스트경로 그대로 전달되어 DSM API에 사용됨.
+    # str.startswith는 '/foo/packs' 와 '/foo/packs_evil' 같은 sibling 경로를 통과시키므로
+    # Path.relative_to로 엄격하게 컴포넌트 단위 검증한다 (CODE_REVIEW F1).
    abs_path = Path(payload.file_path).resolve()
-    if not str(abs_path).startswith(str(PACK_HOST_DIR)):
+    try:
+        abs_path.relative_to(PACK_HOST_DIR.resolve())
+    except ValueError:
        raise HTTPException(status_code=400, detail="허용된 경로 외부")

    try: