CVE-2026-39243 in decompress
Zusammenfassung
von VulDB • 09.07.2026
In decompress prima della versione 4.2.2 è possibile creare arbitrariamente hardlink durante l'estrazione di archivi, consentendo la divulgazione dei contenuti dei file (file read disclosure) e la corruzione dei file. Durante l'elaborazione delle voci relative agli hardlink (type === 'link'), il campo x.linkname dell'archivio viene passato direttamente a fs.link() senza alcuna validazione (index.js riga 113). Un attaccante può creare un archivio con una voce di tipo hardlink in cui linkname è un percorso assoluto verso qualsiasi file sullo stesso filesystem. Questo crea un hardlink all'interno della directory di estrazione che condivide lo stesso inode del file target, consentendo sia la lettura che la sovrascrittura dei contenuti del file originale. Gli hardlink sono limitati ai file presenti sullo stesso filesystem e non possono puntare a directory.
If you want to get best quality of vulnerability data, you may have to visit VulDB.