Katalog CVE

CVE-2026-50017

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 17 — wyżej niż 17% wszystkich znanych CVE

Streszczenie

pnpm przed wersjami 10.34.0 i 11.4.0 może wysyłać nieskwalifikowane poświadczenia uwierzytelniające npm użytkownika do rejestru wybranego przez lokalny plik .npmrc. W odtworzonym przypadku, konfiguracja npm użytkownika zawiera domyślny rejestr i nieskwalifikowany _authToken, a repozytorium ustawia tylko registry= na inny adres URL rejestru. Podczas normalnych operacji pnpm, poświadczenia użytkownika są wiązane z rejestrem z repozytorium i wysyłane jako nagłówek Authorization.

Ocena ryzyka

Ryzyko polega na nieautoryzowanym ujawnieniu poświadczeń uwierzytelniających npm użytkownika do zewnętrznego rejestru, co może prowadzić do kradzieży tokenów i nieautoryzowanego dostępu do pakietów lub konta użytkownika.

Rekomendacja

Zaleca się natychmiastową aktualizację pnpm do wersji 10.34.0 lub 11.4.0, które zawierają poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

pnpm is a package manager. Prior to 10.34.0 and 11.4.0, pnpm can send user-level unscoped npm authentication credentials to a registry chosen by a repository-local .npmrc file. In the reproduced case, the user's npm config contains a default registry and an unscoped _authToken. The repository does not provide a token-bearing auth line. It only sets registry= to a different registry URL. During normal pnpm metadata/install workflows, pnpm binds the user-origin unscoped credential to the repository-selected registry and sends it as an Authorization header. This vulnerability is fixed in 10.34.0 and 11.4.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS