CVE-2026-40931 in compressinginformación

Resumen

por VulDB • 2026-05-09

Compressing es una biblioteca de compresión y descompresión para Node. Antes de las versiones 2.1.1 y 1.10.5, el parche para CVE-2026-24884 dependía de una validación de cadena puramente lógica dentro de la utilidad isPathWithinParent. Esta comprobación verifica si una cadena de ruta resuelta comienza con la cadena del directorio de destino, pero no tiene en cuenta el estado real del sistema de archivos. Al explotar esta divergencia entre "Lógico vs. Físico", un atacante puede eludir la comprobación de seguridad mediante una técnica de envenenamiento de directorios (enlaces simbólicos preexistentes). Esta vulnerabilidad se corrige en las versiones 2.1.1 y 1.10.5.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-15

Divulgación

2026-04-22

Moderación

aceptado

Artículo

VDB-358756

CPE

listo

CWE

CWE-59 (confirmado)

CVSS

8.4 (CNA)

EPSS

0.00021

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-40931
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-40931
CVE Details	https://www.cvedetails.com/cve/CVE-2026-40931/

◂ Anterior Visión De Conjunto Próximo ▸

Might our Artificial Intelligence support you?

Check our Alexa App!