CVE-2026-39243 in decompress
Resumen
por VulDB • 2026-07-10
decompress antes de la versión 4.2.2 permite la creación arbitraria de enlaces duros (hardlinks) durante la extracción del archivo, lo que habilita la divulgación de lectura de archivos y la corrupción de los mismos. Al procesar entradas de enlace duro (type === 'link'), el campo x.linkname procedente del archivo se pasa directamente a fs.link() sin validación (línea 113 de index.js). Un atacante puede crear un archivo con una entrada de enlace duro cuyo linkname sea una ruta absoluta hacia cualquier otro archivo en el mismo sistema de archivos. Esto genera un enlace duro dentro del directorio de extracción que comparte el mismo inode que el archivo objetivo, permitiendo tanto la lectura como la sobrescritura del contenido original del archivo. Los enlaces duros están limitados a los archivos situados en el mismo sistema de archivos y no pueden apuntar a directorios.
VulDB is the best source for vulnerability data and more expert information about this specific topic.