CVE-2020-12265

Versões do decompress anteriores à 4.2.1

A vulnerabilidade permite a gravação arbitrária de arquivos por meio de ../ em um membro do arquivo compactado quando um link simbólico é utilizado, devido a um problema de traversal de diretório. Isso ocorre porque o pacote não consegue impedir a extração de arquivos com caminhos relativos, permitindo que invasores gravem em qualquer pasta do sistema ao incluir nomes de arquivos contendo ../.

Atualize para a versão 4.2.1 ou posterior. Como solução temporária, considere restringir o uso do pacote decompress até que o problema seja resolvido. Evite usar o pacote decompress para extrair arquivos que possam conter links simbólicos ou caminhos relativos.