CVE-2026-10732
ŚrednieCVSS 6.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 41 - wyżej niż 41% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece 'decompress' umożliwia zapis dowolnego pliku poza katalogiem docelowym podczas rozpakowywania spreparowanego archiwum ZIP. Atak wykorzystuje dwa wpisy o tej samej ścieżce: pierwszy to dowiązanie symboliczne, drugi to zwykły plik, co prowadzi do zapisu treści przez dowiązanie do dowolnej lokalizacji. Obejście to omija istniejące zabezpieczenia przed trawersowaniem ścieżek, w tym funkcję 'preventWritingThroughSymlink' dodaną w ramach poprawki dla CVE-2020-12265.
Ocena ryzyka
Atakujący może zdalnie wykonać kod na serwerze, dostarczając spreparowane archiwum ZIP, co prowadzi do pełnej kompromitacji systemu i potencjalnej utraty danych.
Rekomendacja
Należy natychmiast zaktualizować bibliotekę 'decompress' do najnowszej wersji zawierającej poprawkę lub zastąpić ją bezpieczniejszą alternatywą. Do czasu aktualizacji należy unikać rozpakowywania archiwów ZIP z nieznanych źródeł.
Oryginalny opis (angielski, źródło NVD)
All versions of the package decompress are vulnerable to Arbitrary File Write via Archive Extraction (Zip Slip) when extracting a ZIP archive containing two entries with the same path - the first being a symlink to an arbitrary target and the second being a regular file - the file content is written through the symlink to the target location outside the output directory. This is due to the microtask processing order that checks readlink for the second file before resolving symlink for the first file. An attacker can write arbitrary file on the host filesystem potentially leading to remote code execution by providing a specially crafted ZIP archive. **Note:** This bypasses all existing path traversal protections including preventWritingThroughSymlink, added as a part of the fix for [CVE-2020-12265](https://security.snyk.io/vuln/SNYK-JS-DECOMPRESS-557358).

