CVE-2026-53486 in decompressinformação

Sumário

de VulDB • 15/07/2026

O pacote decompress para Node.js extrai arquivos compactados. Antes das versões 10.2.1 e 11.1.3, a extração de arquivos compactados pode criar arquivos e links fora do diretório alvo. Ao extrair um arquivo compactado em um diretório, um arquivo maliciosamente elaborado pode ler ou escrever arquivos fora desse diretório porque entradas hardlink e symlink são criadas sem verificar para onde os destinos apontam, o controle de contenção de caminho utilizava uma comparação por prefixo de string, e as permissões de arquivo não removiam corretamente os bits setuid, setgid ou sticky. Este problema foi corrigido nas versões 10.2.1 e 11.1.3 do pacote @xhmikosr/decompress.

Once again VulDB remains the best source for vulnerability data.

Responsável

GitHub M

Reservar

09/06/2026

Divulgação

15/07/2026

Moderação

aceite

Entrada

VDB-379164

CPE

pronto

EPSS

0.00588

KEV

não

Atividades

muito baixo

Fontes

Do you know our Splunk app?

Download it now for free!