CVE-2026-39243 in decompress정보

요약

\~에 의해 VulDB • 2026. 07. 10.

4.2.2 이전 버전의 decompress는 아카이브 추출 중 임의의 하드링크 생성을 허용하여 파일 읽기 정보 유출 및 파일 손상 가능성을 초래합니다. 처리 과정에서 하드링크 엔트리(타입 === 'link')가 발견되면, index.js 113행에서 아카이브의 x.linkname 필드가 검증 없이 fs.link() 함수로 직접 전달됩니다. 공격자는 링크네임이 동일 파일 시스템 내 임의 파일에 대한 절대 경로인 하드링크 엔트리를 포함하는 악성 아카이브를 생성할 수 있습니다. 이를 통해 추출 디렉토리 내에 대상 파일과 동일한 inode를 공유하는 하드링크가 생성되며, 결과적으로 원본 파일의 내용을 읽거나 덮어쓸 수 있게 됩니다. 단, 하드링크는 동일 파일 시스템 내의 파일에만 적용 가능하며 디렉토리는 타겟으로 지정할 수 없습니다.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

책임이 있는

MITRE

예약하다

2026. 04. 06.

모더레이션

수락

항목

VDB-377324

EPSS

0.00000

출처

Do you need the next level of professionalism?

Upgrade your account now!