CVE-2026-50014
ŚrednieCVSS 6.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 — wyżej niż 7% wszystkich znanych CVE
Streszczenie
Podatność w menedżerze pakietów pnpm przed wersjami 10.34.0 i 11.4.0 umożliwia atakującemu wstrzyknięcie opcji Gita do polecenia git fetch poprzez złośliwy plik lockfile. Brak walidacji wartości commit w lockfile pozwala na podstawienie opcji --upload-pack, co dla transportów SSH i lokalnych może prowadzić do wykonania dowolnego polecenia.
Ocena ryzyka
Organizacja ryzykuje zdalne wykonanie kodu (RCE) podczas instalacji zależności git, jeśli atakujący dostarczy złośliwy plik lockfile. Atak jest szczególnie niebezpieczny w środowiskach korzystających z SSH lub lokalnych repozytoriów git.
Rekomendacja
Należy natychmiast zaktualizować pnpm do wersji 10.34.0 lub 11.4.0. W międzyczasie zaleca się weryfikację zaufania do plików lockfile oraz ograniczenie używania zależności git z nieznanych źródeł.
Oryginalny opis (angielski, źródło NVD)
pnpm is a package manager. Prior to 10.34.0 and 11.4.0, pnpm passes the lockfile-controlled git resolution.commit value to git fetch without a -- separator or commit-format validation. For git dependencies fetched through the shallow-fetch path, a malicious lockfile can replace the expected 40-character commit hash with a Git option such as --upload-pack=<command>. For SSH and local transports, --upload-pack can execute the supplied command. HTTPS transports ignore --upload-pack, so the practical attack surface is primarily SSH or local git dependencies. This vulnerability is fixed in 10.34.0 and 11.4.0.

