漏洞概述 CVE编号: CVE-2020-12265 描述: 在Node.js的decompress包中,版本低于4.2.1的decompress存在任意文件写入漏洞,通过 在归档成员中实现,当使用符号链接时,由于目录遍历导致。 影响范围 受影响软件: decompress包 受影响版本: 低于4.2.1 配置示例: 修复方案 修复版本: 升级到4.2.1或更高版本 参考链接 GitHub Issue #71 GitHub Issue #73 NPM Advisory #1212 弱点枚举 CWE-22: 路径名到受限目录的限制不当(路径遍历) CWE-59: 文件访问前的链接解析不当(链接跟随) 其他信息 CVSS评分: 5.8 (Critical) 向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 已知受影响软件配置 配置1: 更改历史 5条更改记录 联系方式 NVD邮箱: nvd@nist.gov 其他资源 NVD菜单: NVD Menu NIST网站: NIST 页脚信息 NIST总部: 100 Bureau Drive, Gaithersburg, MD 20899 电话: (301) 975-2000 网站: NIST 隐私与政策 隐私政策: Privacy Policy 无障碍: Accessibility 隐私计划: Privacy Program 版权声明: Copyrights 漏洞披露: Vulnerability Disclosure 无恐惧政策: No Fear Act Policy FOIA: FOIA 环境政策: Environmental Policy 科学诚信: Scientific Integrity 信息质量标准: Information Quality Standards Commerce.gov: Commerce.gov USA.gov: USA.gov 社交媒体 Twitter: Twitter Facebook: Facebook LinkedIn: LinkedIn YouTube: YouTube RSS: RSS Email: Email 技术支持 US-CERT: US-CERT 电话: 1-888-282-0870 邮箱: soc@us-cert.gov 其他链接 Webmaster: Webmaster 联系我们: Contact Us 其他办公室: Our Other Offices 免责声明 免责声明: Disclaimer 版权信息 版权: Copyright 最后更新 最后更新: 2026年6月16日 来源 来源: MITRE 发布日期 发布日期: 2020年4月26日 最后修改 最后修改: 2026年6月16日 快速信息 CVE字典条目: CVE-2020-12265 NVD发布日期: 2020年4月26日 NVD最后修改: 2026年6月16日 来源: MITRE 参考链接 GitHub Issue #71 GitHub Issue #73 NPM Advisory #1212 弱点枚举 CWE-22: 路径名到受限目录的限制不当(路径遍历) CWE-59: 文件访问前的链接解析不当(链接跟随) 已知受影响软件配置 配置1: 更改历史 5条更改记录 联系方式 NVD邮箱: nvd@nist.gov 其他资源 NVD菜单: NVD Menu NIST网站: NIST 页脚信息 NIST总部: 100 Bureau Drive, Gaithersburg, MD 20899 电话: (301) 975-2000 网站: NIST 隐私与政策 隐私政策: Privacy Policy 无障碍: Accessibility 隐私计划: Privacy Program 版权声明: Copyrights 漏洞披露: Vulnerability Disclosure 无恐惧政策: No Fear Act Policy FOIA: FOIA 环境政策: Environmental Policy 科学诚信: Scientific Integrity 信息质量标准: Information Quality Standards Commerce.gov: Commerce.gov USA.gov: USA.gov 社交媒体 Twitter: Twitter Facebook: Facebook LinkedIn: LinkedIn YouTube: YouTube RSS: RSS Email: Email 技术支持 US-CERT: US-CERT 电话: 1-888-282-0870 邮箱: soc@us-cert.gov 其他链接 Webmaster: Webmaster 联系我们: Contact Us 其他办公室: Our Other Offices 免责声明 免责声明: Disclaimer 版权信息 版权: Copyright 最后更新 最后更新: 2026年6月16日 来源 来源: MITRE 发布日期 发布日期: 2020年4月26日 最后修改 最后修改: 2026年6月16日 快速信息 CVE字典条目: CVE-2020-12265 NVD发布日期: 2020年4月26日 NVD最后修改: 2026年6月16日 来源: MITRE 参考链接 GitHub Issue #71 GitHub Issue #73 NPM Advisory #1212 弱点枚举 CWE-22: 路径名到受限目录的限制不当(路径遍历) CWE-59: 文件访问前的链接解析不当(链接跟随) 已知受影响软件配置 配置1: 更改历史 5条更改记录 联系方式 NVD邮箱: nvd@nist.gov 其他资源 NVD菜单: NVD Menu NIST网站: NIST 页脚信息 NIST总部: 100 Bureau Drive, Gaithersburg, MD 20899 电话: (301) 975-2000 网站: NIST 隐私与政策 隐私政策: Privacy Policy 无障碍: Accessibility 隐私计划: Privacy Program 版权声明: Copyrights 漏洞披露: Vulnerability Disclosure 无恐惧政策: No Fear Act Policy FOIA: FOIA 环境政策: Environmental Policy 科学诚信: Scientific Integrity 信息质量标准: Information Quality Standards Commerce.gov: Commerce.gov USA.gov: USA.gov 社交媒体 Twitter: Twitter Facebook: Facebook LinkedIn: LinkedIn YouTube: YouTube RSS: RSS Email: Email 技术支持 US-CERT: US-CERT 电话: 1-888-282-0870 邮箱: soc@us-cert.gov 其他链接 Webmaster: Webmaster 联系我们: Contact Us 其他办公室: Our Other Offices 免责声明 免责声明: Disclaimer 版权信息 版权: Copyright 最后更新 最后更新: 2026年6月16日 来源 来源: MITRE 发布日期 发布日期: 2020年4月26日 最后修改 最后修改: 2026年6月16日 快速信息 CVE字典条目: CVE-2020-12265 NVD发布日期: 2020年4月26日 NVD最后修改: 2026年6月16日 来源: MITRE 参考链接 GitHub Issue #71 GitHub Issue #73 NPM Advisory #1212 弱点枚举 CWE-22: 路径名到受限目录的限制不当(路径遍历) CWE-59: 文件访问前的链接解析不当(链接跟随) 已知受影响软件配置 配置1: 更改历史 5条更改记录 联系方式 NVD邮箱: nvd@nist.gov 其他资源 NVD菜单: NVD Menu NIST网站: NIST 页脚信息 NIST总部: 100 Bureau Drive, Gaithersburg, MD 20899 电话: (301) 975-2000 网站: NIST 隐私与政策 隐私政策: Privacy Policy 无障碍: Accessibility 隐私计划: Privacy Program 版权声明: Copyrights 漏洞披露: Vulnerability Disclosure 无恐惧政策: No Fear Act Policy FOIA: FOIA 环境政策: Environmental Policy 科学诚信: Scientific Integrity 信息质量标准: Information Quality Standards Commerce.gov: Commerce.gov USA.gov: USA.gov 社交媒体 Twitter: Twitter Facebook: Facebook LinkedIn: LinkedIn YouTube: YouTube RSS: RSS Email: Email 技术支持 US-CERT: US-CERT 电话: 1-888-282-0870 邮箱: soc@us-cert.gov 其他链接 Webmaster: Webmaster 联系我们: Contact Us 其他办公室: Our Other Offices 免责声明 免责声明: Disclaimer 版权信息 版权: Copyright 最后更新 最后更新: 2026年6月16日 来源 来源: MITRE 发布日期 发布日期: 2020年4月26日 最后修改 最后修改: 2026年6月16日 快速信息 CVE字典条目: CVE-2020-12265 NVD发布日期: 2020年4月26日 NVD最后修改: 2026年6月16日 来源: MITRE 参考链接 GitHub Issue #71 GitHub Issue #73 NPM Advisory #1212 弱点枚举 CWE-22: 路径名到受限目录的限制不当(路径遍历) CWE-59: 文件访问前的链接解析不当(链接跟随) 已知受影响软件配置 配置1: 更改历史 5条更改记录 联系方式 NVD邮箱: nvd@nist.gov 其他资源 NVD菜单: NVD Menu NIST网站: NIST 页脚信息 NIST总部: 100 Bureau Drive, Gaithersburg, MD 20899 电话: (301) 975-2000 网站: NIST 隐私与政策 隐私政策: Privacy Policy 无障碍: Accessibility 隐私计划: Privacy Program 版权声明: Copyrights 漏洞披露: Vulnerability Disclosure 无恐惧政策: No Fear Act Policy FOIA: FOIA 环境政策: Environmental Policy 科学诚信: Scientific Integrity 信息质量标准: Information Quality Standards Commerce.gov: Commerce.gov USA.gov: USA.gov 社交媒体 Twitter: Twitter Facebook: Facebook LinkedIn: LinkedIn YouTube: YouTube RSS: RSS Email: Email 技术支持 US-CERT: US-CERT 电话: 1-888-282-0870 邮箱: soc@us-cert