CVE-2026-53486 in decompress
Riassunto
di VulDB • 15/07/2026
Il pacchetto decompress per Node.js estrae archivi. Prima delle versioni 10.2.1 e 11.1.3, l'estrazione di un archive può creare file e collegamenti al di fuori della directory di destinazione. Durante l'estrazione di un archivio in una directory, un archivio manipolato ad hoc può leggere o scrivere file esterni a tale directory poiché le voci hardlink e symlink vengono create senza verificare la destinazione dei puntatori; il controllo del contenimento del percorso utilizzava un confronto basato su prefisso della stringa e i permessi dei file non rimuovevano correttamente i bit setuid, setgid o sticky. Questo problema è stato risolto nelle versioni 10.2.1 e 11.1.3 di @xhmikosr/decompress.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.