CVE-2026-39243 in decompress情報

要約

〜によって VulDB • 2026年07月10日

4.2.2 以前の decompress では、アーカイブ展開中に任意のハードリンクが作成可能であり、ファイル読み取りによる情報漏洩やファイル破損を招く。hardlink エントリ(type === 'link')処理時、アーカイブ内の x.linkname フィールドは検証されずに直接 fs.link() に渡される (index.js 113行目)。攻撃者は、同一ファイルシステム上の任意のファイルへの絶対パスを linkname とした hardlink エントリを含むアーカイブを作成できる。これにより、展開ディレクトリ内にターゲットファイルと同じ inode を共有するハードリンクが作成され、元のファイルの内容を読み書き可能になる。ただし、ハードリンクは同一ファイルシステム内のファイルに限定され、ディレクトリを対象とすることはできない。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

MITRE

予約する

2026年04月06日

モデレーション

承諾済み

エントリ

VDB-377324

EPSS

0.00000

アクティビティ

非常低い

ソース

Interested in the pricing of exploits?

See the underground prices here!