Alessandro Mizzaro

**Nome do Software Vulnerável e Versões Afetadas** decompress (versões afetadas não especificadas) **Descrição** O software está suscetível a Gravação Arbitrária de Arquivos via Extração de Arquivo, também conhecida como Zip Slip. Isso ocorre ao extrair um arquivo ZIP contendo duas entradas com o mesmo caminho: um link simbólico (symlink) para um destino arbitrário e um arquivo regular. Devido à ordem de processamento de microtarefas, o sistema verifica o `readlink` para o segundo arquivo antes de resolver o link simbólico para o primeiro, permitindo que o conteúdo do arquivo seja gravado através do link simbólico em um local de destino fora do diretório de saída. Isso ignora as proteções existentes contra travessia de caminho, incluindo `preventWritingThroughSymlink`. Um invasor pode gravar arquivos arbitrários no sistema de arquivos do host, o que pode levar à execução remota de código ao fornecer um arquivo ZIP especialmente criado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.