CVE-2026-53486 in decompressinformazioni

Riassunto

di VulDB • 15/07/2026

Il pacchetto decompress per Node.js estrae archivi. Prima delle versioni 10.2.1 e 11.1.3, l'estrazione di un archive può creare file e collegamenti al di fuori della directory di destinazione. Durante l'estrazione di un archivio in una directory, un archivio manipolato ad hoc può leggere o scrivere file esterni a tale directory poiché le voci hardlink e symlink vengono create senza verificare la destinazione dei puntatori; il controllo del contenimento del percorso utilizzava un confronto basato su prefisso della stringa e i permessi dei file non rimuovevano correttamente i bit setuid, setgid o sticky. Questo problema è stato risolto nelle versioni 10.2.1 e 11.1.3 di @xhmikosr/decompress.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub M

Prenotare

09/06/2026

Divulgazione

15/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!