Katalog CVE

CVE-2026-50015

WysokieCVSS 7.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 — wyżej niż 16% wszystkich znanych CVE

Streszczenie

Podatność w menedżerze pakietów pnpm przed wersjami 10.34.0 i 11.4.0 pozwala atakującemu na zapis lub usunięcie dowolnych plików w systemie plików podczas wykonywania polecenia pnpm install. Problem wynika z braku walidacji ścieżek w plikach .patch, co umożliwia użycie sekwencji ../ do wyjścia poza katalog pakietu.

Ocena ryzyka

Atakujący może przejąć kontrolę nad systemem plików ofiary, nadpisując krytyczne pliki konfiguracyjne lub usuwając dane, co prowadzi do naruszenia integralności systemu i potencjalnego przejęcia kontroli nad aplikacją.

Rekomendacja

Należy natychmiast zaktualizować pnpm do wersji 10.34.0 lub 11.4.0, które zawierają poprawkę eliminującą tę podatność. Przed aktualizacją zaleca się weryfikację wszystkich plików .patch w repozytoriach pod kątem podejrzanych ścieżek.

Oryginalny opis (angielski, źródło NVD)

pnpm is a package manager. Prior to 10.34.0 and 11.4.0, pnpm's patch application pipeline (@pnpm/patch-package) performs no path validation on file paths extracted from .patch files. An attacker who contributes a malicious patch file via a pull request can write attacker-controlled content to or delete arbitrary files on the filesystem during pnpm install, as the user running the install. The diff --git header paths containing ../../ sequences traverse out of the package directory, and the traversal is difficult to catch in code review because patch file diff headers are opaque to most reviewers. This vulnerability is fixed in 10.34.0 and 11.4.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS