fix(backend): reject symlinks on emoji import

CHANGELOG.md

@@ -25,6 +25,7 @@
 - Fix: pgroongaでの検索時にはじめのキーワードのみが検索に使用される問題を修正  
   (Cherry-picked from https://activitypub.software/TransFem-org/Sharkey/-/merge_requests/886)
 - Fix: メールアドレスの形式が正しくなければ以降の処理を行わないように
+- Fix: カスタム絵文字パックが普通のファイルであるかどうかを確認するように
 
 ## 2025.2.0
 

packages/backend/src/queue/processors/ImportCustomEmojisProcessorService.ts

@@ -18,6 +18,12 @@ import { QueueLoggerService } from '../QueueLoggerService.js';
 import type * as Bull from 'bullmq';
 import type { DbUserImportJobData } from '../types.js';
 
+async function ensureRegularFile(path: string) {
+	if (!(await fs.promises.stat(path)).isFile()) {
+		throw new Error(`'${path}' is not a file`);
+	}
+}
+
 // TODO: 名前衝突時の動作を選べるようにする
 @Injectable()
 export class ImportCustomEmojisProcessorService {
@@ -69,7 +75,9 @@ export class ImportCustomEmojisProcessorService {
 		try {
 			this.logger.succ(`Unzipping to ${outputPath}`);
 			ZipReader.withDestinationPath(outputPath).viaBuffer(await fs.promises.readFile(destPath));
-			const metaRaw = fs.readFileSync(outputPath + '/meta.json', 'utf-8');
+			const metaPath = outputPath + '/meta.json';
+			await ensureRegularFile(metaPath);
+			const metaRaw = await fs.promises.readFile(metaPath, 'utf-8');
 			const meta = JSON.parse(metaRaw);
 
 			for (const record of meta.emojis) {
@@ -84,6 +92,7 @@ export class ImportCustomEmojisProcessorService {
 					continue;
 				}
 				const emojiPath = outputPath + '/' + record.fileName;
+				await ensureRegularFile(emojiPath);
 				await this.emojisRepository.delete({
 					name: emojiInfo.name,
 				});