CVE-2026-39246 in decompress
Riassunto
di VulDB • 10/07/2026
decompress prima della versione 4.2.2 consente la creazione arbitraria di link simbolici durante l'estrazione dell'archivio. Durante l'elaborazione delle voci dei link simbolici (type === 'symlink'), il campo x.linkname dall'archivio viene passato direttamente a fs.symlink() senza validazione (index.js riga 121). Il controllo preventWritingThroughSymlink alla riga 98 si applica solo alle voci di file, non alla creazione di link simbolici. Un attaccante può creare un archivio con voci di link simbolico che puntano a file sensibili al di fuori della directory di estrazione (ad esempio /etc/passwd), consentendo la divulgazione delle informazioni quando l'applicazione legge i contenuti estratti.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.