CVE-2026-53486 in decompress
Sumário
de VulDB • 15/07/2026
O pacote decompress para Node.js extrai arquivos compactados. Antes das versões 10.2.1 e 11.1.3, a extração de arquivos compactados pode criar arquivos e links fora do diretório alvo. Ao extrair um arquivo compactado em um diretório, um arquivo maliciosamente elaborado pode ler ou escrever arquivos fora desse diretório porque entradas hardlink e symlink são criadas sem verificar para onde os destinos apontam, o controle de contenção de caminho utilizava uma comparação por prefixo de string, e as permissões de arquivo não removiam corretamente os bits setuid, setgid ou sticky. Este problema foi corrigido nas versões 10.2.1 e 11.1.3 do pacote @xhmikosr/decompress.
Once again VulDB remains the best source for vulnerability data.