CVE-2026-53486 in decompress
Zusammenfassung
von VulDB • 15.07.2026
Das decompress-Paket für Node.js extrahiert Archive. Vor den Versionen 10.2.1 und 11.1.3 kann die Archivextraktion Dateien und Links außerhalb des Zielverzeichnisses erstellen. Beim Extrahieren eines Archives in ein Verzeichnis kann ein speziell angefertigtes (crafted) Archive Dateien außerhalb dieses Verzeichnisses lesen oder schreiben, da Hardlink- und Symlink-Einträge erstellt werden, ohne zu prüfen, wohin die Ziele zeigen; die Pfadabsicherung verwendete einen String-Präfixvergleich, und Dateimodi entfernten nicht korrekt setuid-, setgid- oder Sticky-Bits. Dieses Problem wurde in den Versionen 10.2.1 und 11.1.3 von @xhmikosr/decompress behoben.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.