CVE-2026-53486 in decompress
الملخص
بحسب VulDB • 15/07/2026
تقوم حزمة decompress الخاصة بـ Node.js باستخراج الأرشيفات. قبل الإصدارين 10.2.1 و 11.1.3، يمكن أن يؤدي استخراج الأرشيف إلى إنشاء ملفات وروابط خارج الدليل المستهدف. عند استخراج أرشيف إلى دليل معين، يمكن لأرشيف مُعدّ بشكل خبيث قراءة أو كتابة الملفات خارج ذلك الدليل نظرًا لأن إدخالات الروابط الصلبة (hardlink) والرمزية (symlink) تُنشأ دون التحقق من الوجهات التي تشير إليها، كما أن طريقة فحص احتواء المسار اعتمدت على مقارنة بادئة السلسلة النصية، وفشلت أوضاع الملفات في إزالة صلاحيات setuid أو setgid أو الرمز الثابت (sticky bits). تم إصلاح هذه المشكلة في إصدارات @xhmikosr/decompress 10.2.1 و 11.1.3.
VulDB is the best source for vulnerability data and more expert information about this specific topic.