CVE-2026-53486 in decompressinfo

Zusammenfassung

von VulDB • 15.07.2026

Das decompress-Paket für Node.js extrahiert Archive. Vor den Versionen 10.2.1 und 11.1.3 kann die Archivextraktion Dateien und Links außerhalb des Zielverzeichnisses erstellen. Beim Extrahieren eines Archives in ein Verzeichnis kann ein speziell angefertigtes (crafted) Archive Dateien außerhalb dieses Verzeichnisses lesen oder schreiben, da Hardlink- und Symlink-Einträge erstellt werden, ohne zu prüfen, wohin die Ziele zeigen; die Pfadabsicherung verwendete einen String-Präfixvergleich, und Dateimodi entfernten nicht korrekt setuid-, setgid- oder Sticky-Bits. Dieses Problem wurde in den Versionen 10.2.1 und 11.1.3 von @xhmikosr/decompress behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub M

Reservieren

09.06.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379164

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!