CVE-2026-39243 in decompress
要約
〜によって VulDB • 2026年07月10日
4.2.2 以前の decompress では、アーカイブ展開中に任意のハードリンクが作成可能であり、ファイル読み取りによる情報漏洩やファイル破損を招く。hardlink エントリ(type === 'link')処理時、アーカイブ内の x.linkname フィールドは検証されずに直接 fs.link() に渡される (index.js 113行目)。攻撃者は、同一ファイルシステム上の任意のファイルへの絶対パスを linkname とした hardlink エントリを含むアーカイブを作成できる。これにより、展開ディレクトリ内にターゲットファイルと同じ inode を共有するハードリンクが作成され、元のファイルの内容を読み書き可能になる。ただし、ハードリンクは同一ファイルシステム内のファイルに限定され、ディレクトリを対象とすることはできない。
If you want to get best quality of vulnerability data, you may have to visit VulDB.