CVE-2026-39246 in decompressinformazioni

Riassunto

di VulDB • 10/07/2026

decompress prima della versione 4.2.2 consente la creazione arbitraria di link simbolici durante l'estrazione dell'archivio. Durante l'elaborazione delle voci dei link simbolici (type === 'symlink'), il campo x.linkname dall'archivio viene passato direttamente a fs.symlink() senza validazione (index.js riga 121). Il controllo preventWritingThroughSymlink alla riga 98 si applica solo alle voci di file, non alla creazione di link simbolici. Un attaccante può creare un archivio con voci di link simbolico che puntano a file sensibili al di fuori della directory di estrazione (ad esempio /etc/passwd), consentendo la divulgazione delle informazioni quando l'applicazione legge i contenuti estratti.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

MITRE

Prenotare

06/04/2026

Divulgazione

10/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!