CVE-2026-50573
ŚrednieCVSS 6.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 — wyżej niż 1% wszystkich znanych CVE
Streszczenie
W pnpm przed wersjami 10.34.0 i 11.4.0, polecenie `pnpm install` w trybie niezamrożonym może zaakceptować nową zdalną zawartość pakietu po wykryciu niezgodności sumy kontrolnej z plikiem pnpm-lock.yaml. Mimo że pakiet jest zablokowany z wartością integralności, a rejestr zwraca inne dane, pnpm naprawia rozpoznawanie, aktualizuje plik blokady i instaluje nową zawartość, kończąc sukcesem.
Ocena ryzyka
Organizacja może nieświadomie zainstalować zmodyfikowany pakiet o tej samej nazwie i wersji, co narusza integralność zależności i może prowadzić do wstrzyknięcia złośliwego kodu do środowiska produkcyjnego.
Rekomendacja
Należy natychmiast zaktualizować pnpm do wersji 10.34.0 lub 11.4.0. Do czasu aktualizacji zaleca się używanie trybu mrożonego (`--frozen-lockfile`) podczas instalacji.
Oryginalny opis (angielski, źródło NVD)
pnpm is a package manager. Prior to 10.34.0 and 11.4.0, `pnpm install` in non-frozen mode can accept new remote package content after detecting that the downloaded tarball does not match the integrity recorded in pnpm-lock.yaml. When a package is already locked with an integrity value, and the registry later serves different metadata and tarball content for the same package name and version, pnpm initially reports an integrity mismatch. However, plain pnpm install then performs a resolution repair, accepts the registry's new integrity, updates the lockfile, installs the new content, and exits successfully. This means the lockfile integrity check does not act as a hard stop by default. This vulnerability is fixed in 10.34.0 and 11.4.0.

