CVE-2026-10732

Nome do Software Vulnerável e Versões Afetadas decompress (versões afetadas não especificadas)

Descrição O software está suscetível a Gravação Arbitrária de Arquivos via Extração de Arquivo, também conhecida como Zip Slip. Isso ocorre ao extrair um arquivo ZIP contendo duas entradas com o mesmo caminho: um link simbólico (symlink) para um destino arbitrário e um arquivo regular. Devido à ordem de processamento de microtarefas, o sistema verifica o readlink para o segundo arquivo antes de resolver o link simbólico para o primeiro, permitindo que o conteúdo do arquivo seja gravado através do link simbólico em um local de destino fora do diretório de saída. Isso ignora as proteções existentes contra travessia de caminho, incluindo preventWritingThroughSymlink. Um invasor pode gravar arquivos arbitrários no sistema de arquivos do host, o que pode levar à execução remota de código ao fornecer um arquivo ZIP especialmente criado.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.