CVE-2026-39243 in decompressinfo

Zusammenfassung

von VulDB • 09.07.2026

In decompress prima della versione 4.2.2 è possibile creare arbitrariamente hardlink durante l'estrazione di archivi, consentendo la divulgazione dei contenuti dei file (file read disclosure) e la corruzione dei file. Durante l'elaborazione delle voci relative agli hardlink (type === 'link'), il campo x.linkname dell'archivio viene passato direttamente a fs.link() senza alcuna validazione (index.js riga 113). Un attaccante può creare un archivio con una voce di tipo hardlink in cui linkname è un percorso assoluto verso qualsiasi file sullo stesso filesystem. Questo crea un hardlink all'interno della directory di estrazione che condivide lo stesso inode del file target, consentendo sia la lettura che la sovrascrittura dei contenuti del file originale. Gli hardlink sono limitati ai file presenti sullo stesso filesystem e non possono puntare a directory.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

MITRE

Reservieren

06.04.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377324

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!