文章总结: decompressnpm包存在高危漏洞CVE-2026-53486,CVSS评分9.1,影响每周超280万次下载。攻击者利用硬链接和符号链接绕过目录检查,可写入任意文件甚至获取root权限。所有版本至4.2.1均受影响,原始项目无人维护。建议升级至分支的11.1.3版本,临时措施包括只解压信任压缩包并以非root用户运行。 综合评分: 86 文章分类: 漏洞分析,威胁情报,安全工具,供应链安全,漏洞预警
decompress 这个 npm 包的漏洞 CVE-2026-53486(CVSS 9.1)威胁到每周 280 万次下载量
sec随谈 sec随谈
sec随谈
2026年7月13日 08:44 北京
在小说阅读器读本章
去阅读
摘要
一个高危(high-severity)的 decompress npm 包漏洞,使得精心构造的压缩包能够将文件写入到解压目录之外。该漏洞编号为 CVE-2026-53486,CVSS 评分为 9.1。它位于一个每周被 npm 分发超过 280 万次的库中。截至目前,尚未确认存在公开的概念验证(PoC)或在野攻击。
这个 decompress 漏洞为何重要
压缩/解压工具几乎无处不在,从 CI(持续集成)流水线到安装脚本都在使用。许多服务在解压前也会先下载压缩包。因此,攻击者可以通过网络触及这个漏洞。当它在容器内以 root 权限运行时,危险性进一步升高——精心构造的压缩包可借此投放一个 setuid 文件并夺取 root 权限。
攻击原理
该软件包在写入压缩包内的条目时,未检查链接的指向。硬链接(hardlink)可以指向该进程能读取的任意文件,从而将该文件暴露到输出目录中。而符号链接(symlink)则可以指向目录之外,劫持后续的写入操作。旧的目录包含性检查(containment check)仅用简单的字符串前缀来比对路径。正因这一缺陷,某个条目得以逃逸到同级目录(sibling directory)中。除此之外,文件权限模式还保留了 setuid、setgid 和 sticky 权限位。
受影响版本
这个 decompress npm 漏洞影响该库所处理的每一种格式,默认涵盖 tar、tar.gz、tar.bz2 和 zip。原始的 decompress 项目已无人维护。因此,直到 4.2.1 为止的所有版本都仍暴露于风险中,且不存在上游(upstream)修复。
补丁与缓解措施
维护者已在 xhmikosr 的 decompress 分支(fork)的 10.2.1 和 11.1.3 版本中修复了该漏洞。11.1.3 版本修正了链接目标的处理,改用 path.relative 检查真实路径,并剥离了危险的权限位。请尽快升级到 11.1.3 或更高版本。
临时缓解方案
在完成修补之前,只解压你信任的压缩包。同时,以非 root 用户身份运行它,这样可以削弱权限模式带来的问题。最后,在解压完成后,拒绝任何指向目标目录之外的链接。
参考链接:
https://github.com/XhmikosR/decompress/releases/tag/v11.1.3
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:sec随谈 sec随谈 sec随谈《decompress 这个 npm 包的漏洞 CVE-2026-53486(CVSS 9.1)威胁到每周 280 万次下载量》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论