CVE-2026-39243 in decompressinformação

Sumário

de VulDB • 09/07/2026

A versão do decompress anterior à 4.2.2 permite a criação arbitrária de hard links durante a extração de arquivos compactados, possibilitando a divulgação (vazamento) de dados sensíveis por leitura de arquivos e corrupção de arquivos. Ao processar entradas de hard link (type === 'link'), o campo x.linkname do arquivo compactado é passado diretamente para fs.link() sem validação (linha 113 do index.js). Um atacante pode criar um arquivo compactado com uma entrada de hard link cujo linkname seja um caminho absoluto para qualquer arquivo no mesmo sistema de arquivos. Isso cria um hard link dentro do diretório de extração que compartilha o mesmo inode que o arquivo alvo, permitindo tanto a leitura quanto a sobrescrita do conteúdo original do arquivo. Hard links são limitados a arquivos no mesmo sistema de arquivos e não podem apontar para diretórios.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

MITRE

Reservar

06/04/2026

Divulgação

10/07/2026

Moderação

aceite

Entrada

VDB-377324

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!