CVE-2026-55487
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
W pnpm przed wersjami 10.34.2 i 11.5.3, normalizator sufiksów peer-dependency błędnie usuwał tekst w nawiasach z lokalizatorów git, URL, tarball, plików i innych. Zatwierdzenie jednego źródła mogło autoryzować inne, kontrolowane przez atakującego źródło, którego lokalizator został znormalizowany do tej samej wartości.
Ocena ryzyka
Ryzyko polega na możliwości autoryzacji złośliwego pakietu jako zaufanego, co może prowadzić do instalacji niebezpiecznego kodu w projekcie.
Rekomendacja
Należy natychmiast zaktualizować pnpm do wersji 10.34.2 lub 11.5.3, w zależności od używanej głównej wersji.
Oryginalny opis (angielski, źródło NVD)
pnpm is a package manager. Prior to 10.34.2 and 11.5.3, the generic peer-suffix normalizer also stripped parenthesized text from git, URL, tarball, file, and other opaque locators. Approval for one source string could therefore authorize a different attacker-controlled source whose locator normalized to the same value. This vulnerability is fixed in 10.34.2 and 11.5.3.

