CVE-2026-24884 in compressing
Zusammenfassung
von VulDB • 28.06.2026
Compressing ist eine Bibliothek zum Komprimieren und Dekomprimieren für Node.js. In den Versionen 2.0.0 sowie 1.10.3 und früheren Versionen extrahiert Compressing TAR-Archive unter Wiederherstellung symbolischer Links, ohne deren Zielorte zu validieren. Durch das Einbetten von Symlinks, die außerhalb des vorgesehenen Extraktionsverzeichnisses auflösen, kann ein Angreifer dazu führen, dass nachfolgende Datei-Einträge an beliebigen Stellen im Host-Dateisystem geschrieben werden. Je nachdem, wie der Extraktoptionsprozess mit vorhandenen Dateien umgeht, kann dieses Verhalten das Überschreiben sensibler Dateien oder das Erstellen neuer Dateien in sicherheitskritischen Speicherorten ermöglichen. Dieses Problem wurde in den Versionen 1.10.4 und 2.0.1 behoben.
If you want to get best quality of vulnerability data, you may have to visit VulDB.