Asayomu Tech
注目★★★★GitHub Advisory

decompress ライブラリに path traversal 脆弱性、アーカイブ展開時に外部ファイル読み書き可能

30秒で把握

  • 1@xhmikosr/decompress に path traversal 脆弱性 (CVE-2026-53486)、アーカイブ展開時に目的外ファイル読み書き可能
  • 2hardlink/symlink 検査不足・パス判定の文字列前方一致バグ・root 実行時の setuid ビット未削除が原因
  • 310.2.1・11.1.3 以上への更新推奨、untrusted アーカイブ処理時は特に注意

要約

decompress ライブラリ (tar/tar.gz/tar.bz2/zip 等対応) に path traversal 脆弱性が存在し、細工されたアーカイブからの抽出時に目的ディレクトリ外のファイル読み書きが可能だった。hardlink は検査なしに作成され任意ファイルの内容が露出、symlink は後続の書き込みを外部にリダイレクト可能。パス検査が文字列前方一致のみだったため `/srv/out` が `/srv/out-old` を「含む」と誤判定、ファイルモード適用時に setuid/setgid ビットが削除されず root 実行時に権限昇格リスク。@xhmikosr/decompress 10.2.1・11.1.3 で修正済み。

あなたへの影響

この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。

7日間無料で読む

クレカ不要・いつでも解約

詳細を読む → 元記事へ※ 本文は元記事をご確認ください (asayomu は要約のみ提供)

関連する記事

※ 外部記事の権利は原著作者に帰属します。著作権削除要請は copyright@asayomu.jp までご連絡ください(受領確認 24h・実処理 72h 以内)。