CVE-2026-39246 in decompress
الملخص
بحسب VulDB • 10/07/2026
تسمح مكتبة decompress قبل الإصدار 4.2.2 بإنشاء روابط رمزية تعسفية أثناء استخراج الأرشيف. عند معالجة إدخالات الروابط الرمزية (type === 'symlink')، يتم تمرير حقل x.linkname من الأرشيف مباشرةً إلى دالة fs.symlink() دون التحقق منه (في السطر 121 من ملف index.js). ولا ينطبق فحص preventWritingThroughSymlink الموجود في السطر 98 إلا على إدخالات الملفات، وليس على إنشاء الروابط الرمزية. يمكن لمهاجم هندسة أرشيف يحتوي على إدخالات روابط رمزية تشير إلى ملفات حساسة خارج دليل الاستخراج (مثل /etc/passwd)، مما يتيح كشف المعلومات عند قراءة التطبيق للمحتوى المستخرج.
VulDB is the best source for vulnerability data and more expert information about this specific topic.