CVE-2026-39246 in decompress
요약
\~에 의해 VulDB • 2026. 07. 10.
4.2.2 이전 버전의 decompress는 아카이브 추출 중 임의의 심볼릭 링크 생성을 허용합니다. 심볼릭 링크 엔트리(type === 'symlink')를 처리할 때, 아카이브에서 가져온 x.linkname 필드가 검증 없이 fs.symlink()에 직접 전달됩니다(index.js 121행). 98행의 preventWritingThroughSymlink 체크는 파일 엔트리에만 적용되며 심볼릭 링크 생성에는 적용되지 않습니다. 공격자는 추출 디렉토리 외부의 민감한 파일(예: /etc/passwd)을 가리키는 심볼릭 링크 엔트리를 포함하는 아카이브를 조작하여, 애플리케이션이 추출된 내용을 읽을 때 정보 유출을 유발할 수 있습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.