Vulnerabilidad en Compressing (CVE-2026-24884)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-59 Incorrecta resolución de una ruta antes de aceder a un fichero (Seguimiento de enlaces)

Fecha de publicación:

04/02/2026

Última modificación:

27/02/2026

Descripción

Compressing es una librería de compresión y descompresión para node. En las versiones 2.0.0 y 1.10.3 y anteriores, Compressing extrae archivos TAR mientras restaura enlaces simbólicos sin validar sus destinos. Al incrustar enlaces simbólicos que se resuelven fuera del directorio de extracción previsto, un atacante puede hacer que las entradas de archivos subsiguientes se escriban en ubicaciones arbitrarias en el sistema de archivos del host. Dependiendo de cómo el extractor maneje los archivos existentes, este comportamiento puede permitir sobrescribir archivos sensibles o crear nuevos archivos en ubicaciones críticas para la seguridad. Este problema ha sido parcheado en las versiones 1.10.4 y 2.0.1.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.40 ALTA
Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto