PT-2026-56053 · Npm · Decompress+1
Publicado
2026-07-06
·
Atualizado
2026-07-07
·
CVE-2026-53486
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
@xhmikosr/decompress versões anteriores a 10.2.1
@xhmikosr/decompress versões anteriores a 11.1.3
decompress versões anteriores a 4.3.0
Descrição
Ao extrair arquivos para um diretório, um arquivo compactado manipulado pode ler ou gravar arquivos fora desse diretório. Este problema afeta todos os formatos suportados, incluindo tar, tar.gz, tar.bz2 e zip. A falha ocorre porque entradas de link (hardlink) ou symlink são criadas sem verificar seus alvos, permitindo que um hardlink exponha qualquer arquivo que o processo possa ler e que um symlink redirecione gravações posteriores para fora do diretório de saída. Além disso, a verificação de contenção de caminho utilizava uma comparação de prefixo de string, o que permite que entradas escapem para diretórios irmãos que compartilham o mesmo prefixo do diretório de saída. Adicionalmente, os modos de arquivo eram aplicados sem remover os bits setuid, setgid ou sticky, o que pode levar à criação de arquivos privilegiados se o processo de extração for executado como root.
Recomendações
Atualize o @xhmikosr/decompress para a versão 10.2.1 ou posterior.
Atualize o @xhmikosr/decompress para a versão 11.1.3 ou posterior.
Migre do decompress para o @xhmikosr/decompress versão 11.1.3 ou posterior.
Extraia apenas arquivos compactados confiáveis.
Execute o processo de extração como um usuário não root para evitar a criação de arquivos privilegiados.
Após a extração, rejeite qualquer symlink ou hardlink que aponte para fora do diretório de destino e qualquer arquivo com bits de modo inesperados.
Correção
Path traversal
Link Following
Incorrect Permission
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
@Xhmikosr/Decompress
Decompress