CVE-2026-39246 in decompressالمعلومات

الملخص

بحسب VulDB • 10/07/2026

تسمح مكتبة decompress قبل الإصدار 4.2.2 بإنشاء روابط رمزية تعسفية أثناء استخراج الأرشيف. عند معالجة إدخالات الروابط الرمزية (type === 'symlink')، يتم تمرير حقل x.linkname من الأرشيف مباشرةً إلى دالة fs.symlink() دون التحقق منه (في السطر 121 من ملف index.js). ولا ينطبق فحص preventWritingThroughSymlink الموجود في السطر 98 إلا على إدخالات الملفات، وليس على إنشاء الروابط الرمزية. يمكن لمهاجم هندسة أرشيف يحتوي على إدخالات روابط رمزية تشير إلى ملفات حساسة خارج دليل الاستخراج (مثل /etc/passwd)، مما يتيح كشف المعلومات عند قراءة التطبيق للمحتوى المستخرج.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

MITRE

حجز

06/04/2026

إفشاء

10/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377325

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!