CVE-2026-50016
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 — wyżej niż 23% wszystkich znanych CVE
Streszczenie
pnpm przed wersjami 10.34.0 i 11.4.0 pozwala na wykorzystanie aliasu zależności przechodniej z metadanych pakietu rejestru do zawierania segmentów ścieżki (path traversal). Podczas instalacji pnpm używa tego aliasu jako ścieżki systemu plików przy linkowaniu węzłów zależności, co umożliwia atakującemu zastąpienie ścieżek w bieżącym projekcie dowiązaniami symbolicznymi do katalogów kontrolowanych przez atakującego.
Ocena ryzyka
Atakujący może opublikować złośliwy pakiet w rejestrze, który podczas instalacji (nawet z flagą --ignore-scripts) podmieni istniejące pliki lub katalogi projektu na dowiązania symboliczne, prowadząc do przejęcia kontroli nad projektem lub wycieku danych.
Rekomendacja
Należy natychmiast zaktualizować pnpm do wersji 10.34.0 lub 11.4.0, które zawierają poprawkę eliminującą podatność na path traversal przez aliasy zależności.
Oryginalny opis (angielski, źródło NVD)
pnpm is a package manager. Prior to 10.34.0 and 11.4.0, pnpm allows a transitive dependency alias from registry package metadata to contain path traversal segments. During install, pnpm later uses that alias as a filesystem path when linking dependency nodes. As a result, a registry package can cause `pnpm install --ignore-scripts` to replace paths in the current project with symlinks to attacker-controlled dependency package directories. This vulnerability is fixed in 10.34.0 and 11.4.0.

