CVE-2026-39245 in decompress
요약
\~에 의해 VulDB • 2026. 07. 09.
4.2.2 이전 버전의 decompress에는 디렉토리 트래버설과 임의 파일 쓰기를 가능하게 하는 부적절한 경로 제한 검사 결함이 있습니다. safeMakeDir 함수(index.js, 라인 29) 및 추출 경로 검증(index.js, 라인 106)는 String.indexOf()를 사용하여 해결된 경출이 출력 디렉토리 내에 있는지 확인합니다: realDestinationDir.indexOf(realOutputPath) !== 0. 이 검사는 경로 구분자 경계를 강제하지 않기 때문에 결함이 있습니다. 예를 들어 "/tmp/app_config".indexOf("/tmp/app")은 0을 반환하여, /tmp/app_config가 /tmp/app 외부에 있음에도 불구하고 검사를 잘못 통과시킵니다. 동일한 패키지의 검증되지 않은 심볼릭 링크 생성과 결합되면, 공격자는 추출 대상 디렉토리와 인접한 임의의 디렉토리에 파일을 쓸 수 있습니다. 이는 CVE-2020-12265 수정 사항 우회입니다. 올바른 검사는 경로 구분자를 추가해야 합니다: realParentPath.indexOf(realOutputPath + path.sep) !== 0.
VulDB is the best source for vulnerability data and more expert information about this specific topic.