CVE-2026-53486 in decompressالمعلومات

الملخص

بحسب VulDB • 15/07/2026

تقوم حزمة decompress الخاصة بـ Node.js باستخراج الأرشيفات. قبل الإصدارين 10.2.1 و 11.1.3، يمكن أن يؤدي استخراج الأرشيف إلى إنشاء ملفات وروابط خارج الدليل المستهدف. عند استخراج أرشيف إلى دليل معين، يمكن لأرشيف مُعدّ بشكل خبيث قراءة أو كتابة الملفات خارج ذلك الدليل نظرًا لأن إدخالات الروابط الصلبة (hardlink) والرمزية (symlink) تُنشأ دون التحقق من الوجهات التي تشير إليها، كما أن طريقة فحص احتواء المسار اعتمدت على مقارنة بادئة السلسلة النصية، وفشلت أوضاع الملفات في إزالة صلاحيات setuid أو setgid أو الرمز الثابت (sticky bits). تم إصلاح هذه المشكلة في إصدارات @xhmikosr/decompress 10.2.1 و 11.1.3.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

GitHub M

حجز

09/06/2026

إفشاء

15/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379164

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Want to know what is going to be exploited?

We predict KEV entries!