CVE-2026-48995
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
Podatność w menedżerze pakietów pnpm przed wersjami 10.33.4 i 11.0.7 pozwala złośliwemu serwerowi codeload.github.com na dostarczenie dowolnego archiwum tarball, które pnpm zainstaluje niezależnie od pliku lockfile. Lockfile nie przechowuje skrótów zależności pobieranych z tego serwera, co umożliwia atakującemu podmianę pakietów.
Ocena ryzyka
Ryzyko polega na możliwości zainstalowania przez pnpm złośliwych pakietów zamiast oczekiwanych, co może prowadzić do naruszenia integralności systemu, kradzieży danych lub przejęcia kontroli nad aplikacją.
Rekomendacja
Należy natychmiast zaktualizować pnpm do wersji 10.33.4 lub 11.0.7, które zawierają poprawkę usuwającą tę podatność.
Oryginalny opis (angielski, źródło NVD)
pnpm is a package manager. Prior to 10.33.4 and 11.0.7, a malicious codeload.github.com server can serve whatever tarball it wants and pnpm will install it regardless of the lockfile. The lockfile does not store the hash of the dependencies from https://codeload.github.com. This means that if this server was compromised or a person's machine configuration was compromised, pnpm would download and install these dependencies. This vulnerability is fixed in 10.33.4 and 11.0.7.

