CVE-2026-24884

Nome do Software Vulnerável e Versões Afetadas Compressing versões anteriores a 1.10.4 Compressing versão 2.0.0

Description Compressing é uma biblioteca de compressão e descompressão para Node.js. A função compressing.tar.uncompress() extrai arquivos TAR e restaura links simbólicos sem validar seus destinos. Um atacante pode incorporar links simbólicos que se resolvem fora do diretório de extração pretendido, fazendo com que entradas de arquivos subsequentes sejam gravadas em locais arbitrários no sistema de arquivos do host. Isso pode permitir a sobrescrita de arquivos sensíveis ou a criação de novos arquivos em locais críticos para a segurança. Em ambientes onde a extração é realizada com privilégios elevados ou visa caminhos executáveis, isso pode resultar em execução de código, escalonamento de privilégios, corrupção de dados ou negação de serviço.

Recommendations Atualizar as versões do Compressing anteriores a 1.10.4 para a versão 1.10.4. Atualizar a versão 2.0.0 do Compressing para a versão 2.0.1.