CVE-2026-40931 in compressinginformation

Résumé

par VulDB • 22/05/2026

Compressing est une bibliothèque de compression et de décompression pour Node.js. Avant les versions 2.1.1 et 1.10.5, le correctif pour CVE-2026-24884 s'appuyait sur une validation de chaîne purement logique au sein de l'utilitaire isPathWithinParent. Cette vérification s'assure que la chaîne de chemin résolu commence par la chaîne du répertoire de destination, mais ne prend pas en compte l'état réel du système de fichiers. En exploitant cette divergence entre la logique et la physique, un attaquant peut contourner la vérification de sécurité à l'aide d'une technique de Directory Poisoning (liens symboliques préexistants). Cette vulnérabilité est corrigée dans les versions 2.1.1 et 1.10.5.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

15/04/2026

Divulgation

22/04/2026

Modérer

accepté

Entrée

VDB-358756

CPE

prêt

EPSS

0.00021

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40931
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40931
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40931/

PrécédentAperçuSuivant

Interested in the pricing of exploits?

See the underground prices here!