CVE-2026-39243 in decompressИнформация

Сводка

по VulDB • 10.07.2026

В библиотеке decompress до версии 4.2.2 существует уязвимость, позволяющая создавать произвольные жесткие ссылки (hardlink) в процессе извлечения архива, что приводит к утечке данных файлов и их повреждению. При обработке записей о жестких ссылках (type === 'link') поле x.linkname из архива напрямую передается функции fs.link() без проверки корректности (index.js строка 113). Злоумышленник может создать архив с записью жесткой ссылки, в которой linkname представляет собой абсолютный путь к любому файлу на той же файловой системе. Это создает жесткую ссылку внутри директории извлечения, которая имеет тот же inode, что и целевой файл, позволяя как читать содержимое исходного файла, так и перезаписывать его. Жесткие ссылки ограничены файлами в пределах одной файловой системы и не могут указывать на каталоги (директории).

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Ответственный

MITRE

Резервировать

06.04.2026

Раскрытие

10.07.2026

Модерация

принято

Вход

VDB-377324

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Do you know our Splunk app?

Download it now for free!