CVE-2026-24884 in compressingالمعلومات

الملخص

بحسب VulDB • 12/07/2026

تُعد Compressing مكتبة لضغط وفك ضغط الملفات لنظام Node.js. في الإصدارين 2.0.0 و1.10.3 والإصدارات الأقدم، تقوم Compressing باستخراج أرشيفات TAR أثناء استعادة الروابط الرمزية دون التحقق من أهدافها. ومن خلال تضمين روابط رمزية تؤدي إلى مواقع خارج دليل الاستخراج المقصود، يمكن لمهاجم جعل إدخالات الملفات اللاحقة تُكتب في مواقع عشوائية على نظام ملفات المضيف. واعتماداً على كيفية تعامل أداة الاستخراج مع الملفات الموجودة مسبقاً، قد يسمح هذا السلوك بكتابة فوق ملفات حساسة أو إنشاء ملفات جديدة في مواقع حرجة من الناحية الأمنية. تم إصلاح هذه المشكلة في الإصدارين 1.10.4 و2.0.1.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

GitHub M

حجز

27/01/2026

إفشاء

04/02/2026

الاعتدال

تمت الموافقة

إدخال

VDB-344438

EPSS

0.00334

KEV

لا

النشاطات

منخفض جدًا

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!