注目★★★★★GitHub Advisory
decompress ライブラリに path traversal 脆弱性、アーカイブ展開時に外部ファイル読み書き可能
30秒で把握
- 1@xhmikosr/decompress に path traversal 脆弱性 (CVE-2026-53486)、アーカイブ展開時に目的外ファイル読み書き可能
- 2hardlink/symlink 検査不足・パス判定の文字列前方一致バグ・root 実行時の setuid ビット未削除が原因
- 310.2.1・11.1.3 以上への更新推奨、untrusted アーカイブ処理時は特に注意
要約
decompress ライブラリ (tar/tar.gz/tar.bz2/zip 等対応) に path traversal 脆弱性が存在し、細工されたアーカイブからの抽出時に目的ディレクトリ外のファイル読み書きが可能だった。hardlink は検査なしに作成され任意ファイルの内容が露出、symlink は後続の書き込みを外部にリダイレクト可能。パス検査が文字列前方一致のみだったため `/srv/out` が `/srv/out-old` を「含む」と誤判定、ファイルモード適用時に setuid/setgid ビットが削除されず root 実行時に権限昇格リスク。@xhmikosr/decompress 10.2.1・11.1.3 で修正済み。
あなたへの影響
この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。
クレカ不要・いつでも解約