Katalog CVE

CVE-2026-50016

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.31%

Percentyl 23 — wyżej niż 23% wszystkich znanych CVE

Streszczenie

pnpm przed wersjami 10.34.0 i 11.4.0 pozwala na wykorzystanie aliasu zależności przechodniej z metadanych pakietu rejestru do zawierania segmentów ścieżki (path traversal). Podczas instalacji pnpm używa tego aliasu jako ścieżki systemu plików przy linkowaniu węzłów zależności, co umożliwia atakującemu zastąpienie ścieżek w bieżącym projekcie dowiązaniami symbolicznymi do katalogów kontrolowanych przez atakującego.

Ocena ryzyka

Atakujący może opublikować złośliwy pakiet w rejestrze, który podczas instalacji (nawet z flagą --ignore-scripts) podmieni istniejące pliki lub katalogi projektu na dowiązania symboliczne, prowadząc do przejęcia kontroli nad projektem lub wycieku danych.

Rekomendacja

Należy natychmiast zaktualizować pnpm do wersji 10.34.0 lub 11.4.0, które zawierają poprawkę eliminującą podatność na path traversal przez aliasy zależności.

Oryginalny opis (angielski, źródło NVD)

pnpm is a package manager. Prior to 10.34.0 and 11.4.0, pnpm allows a transitive dependency alias from registry package metadata to contain path traversal segments. During install, pnpm later uses that alias as a filesystem path when linking dependency nodes. As a result, a registry package can cause `pnpm install --ignore-scripts` to replace paths in the current project with symlinks to attacker-controlled dependency package directories. This vulnerability is fixed in 10.34.0 and 11.4.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS