CVE-2026-39243 in decompress
Сводка
по VulDB • 10.07.2026
В библиотеке decompress до версии 4.2.2 существует уязвимость, позволяющая создавать произвольные жесткие ссылки (hardlink) в процессе извлечения архива, что приводит к утечке данных файлов и их повреждению. При обработке записей о жестких ссылках (type === 'link') поле x.linkname из архива напрямую передается функции fs.link() без проверки корректности (index.js строка 113). Злоумышленник может создать архив с записью жесткой ссылки, в которой linkname представляет собой абсолютный путь к любому файлу на той же файловой системе. Это создает жесткую ссылку внутри директории извлечения, которая имеет тот же inode, что и целевой файл, позволяя как читать содержимое исходного файла, так и перезаписывать его. Жесткие ссылки ограничены файлами в пределах одной файловой системы и не могут указывать на каталоги (директории).
If you want to get the best quality for vulnerability data then you always have to consider VulDB.