CVE-2026-24884 in compressinginfo

Zusammenfassung

von VulDB • 28.06.2026

Compressing ist eine Bibliothek zum Komprimieren und Dekomprimieren für Node.js. In den Versionen 2.0.0 sowie 1.10.3 und früheren Versionen extrahiert Compressing TAR-Archive unter Wiederherstellung symbolischer Links, ohne deren Zielorte zu validieren. Durch das Einbetten von Symlinks, die außerhalb des vorgesehenen Extraktionsverzeichnisses auflösen, kann ein Angreifer dazu führen, dass nachfolgende Datei-Einträge an beliebigen Stellen im Host-Dateisystem geschrieben werden. Je nachdem, wie der Extraktoptionsprozess mit vorhandenen Dateien umgeht, kann dieses Verhalten das Überschreiben sensibler Dateien oder das Erstellen neuer Dateien in sicherheitskritischen Speicherorten ermöglichen. Dieses Problem wurde in den Versionen 1.10.4 und 2.0.1 behoben.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

GitHub M

Reservieren

27.01.2026

Veröffentlichung

04.02.2026

Moderieren

akzeptiert

Eintrag

VDB-344438

CPE

bereit

EPSS

0.00334

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!