CVE-2026-39243 in decompressinformación

Resumen

por VulDB • 2026-07-10

decompress antes de la versión 4.2.2 permite la creación arbitraria de enlaces duros (hardlinks) durante la extracción del archivo, lo que habilita la divulgación de lectura de archivos y la corrupción de los mismos. Al procesar entradas de enlace duro (type === 'link'), el campo x.linkname procedente del archivo se pasa directamente a fs.link() sin validación (línea 113 de index.js). Un atacante puede crear un archivo con una entrada de enlace duro cuyo linkname sea una ruta absoluta hacia cualquier otro archivo en el mismo sistema de archivos. Esto genera un enlace duro dentro del directorio de extracción que comparte el mismo inode que el archivo objetivo, permitiendo tanto la lectura como la sobrescritura del contenido original del archivo. Los enlaces duros están limitados a los archivos situados en el mismo sistema de archivos y no pueden apuntar a directorios.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

MITRE

Reservar

2026-04-06

Divulgación

2026-07-10

Moderación

aceptado

Artículo

VDB-377324

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!