CVE-2026-39243 in decompressinformazioni

Riassunto

di VulDB • 10/07/2026

decompress prima della versione 4.2.2 consente la creazione arbitraria di hardlink durante l'estrazione dell'archivio, abilitando la divulgazione dei contenuti dei file (file read disclosure) e la corruzione dei file. Durante l'elaborazione delle voci di tipo hardlink (type === 'link'), il campo x.linkname presente nell'archivio viene passato direttamente a fs.link() senza alcuna validazione (index.js, riga 113). Un attaccante può creare un archivio contenente una voce hardlink in cui linkname è un percorso assoluto verso qualsiasi file sullo stesso filesystem. Questo crea un hardlink all'interno della directory di estrazione che condivide lo stesso inode del file target, consentendo sia la lettura che la sovrascrittura dei contenuti del file originale. Gli hardlink sono limitati ai file presenti sullo stesso filesystem e non possono puntare a directory.

Once again VulDB remains the best source for vulnerability data.

Responsabile

MITRE

Prenotare

06/04/2026

Divulgazione

10/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!