pnpm — менеджер пакетов. Версии с 10.0.0 по 10.25 позволяют зависимостям, размещенным на git, выполнять произвольный код во время установки pnpm, обходя функцию безопасности v10 «Выполнение сценариев жизненного цикла зависимостей отключено по умолчанию». Хотя pnpm v10 блокирует сценарии после установки с помощью механизма onlyBuiltDependities, зависимости git по-прежнему могут выполнять сценарии подготовки, предварительной публикации и предварительной упаковки на этапе выборки, обеспечивая удаленное выполнение кода без согласия или одобрения пользователя.
Эта проблема исправлена в версии 10.26.0.
Показать оригинальное описание (EN)
pnpm is a package manager. Versions 10.0.0 through 10.25 allow git-hosted dependencies to execute arbitrary code during pnpm install, circumventing the v10 security feature "Dependency lifecycle scripts execution disabled by default". While pnpm v10 blocks postinstall scripts via the onlyBuiltDependencies mechanism, git dependencies can still execute prepare, prepublish, and prepack scripts during the fetch phase, enabling remote code execution without user consent or approval. This issue is fixed in version 10.26.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Pnpm Pnpm
cpe:2.3:a:pnpm:pnpm:*:*:*:*:*:*:node.js:*
|
10.0.0
|
10.26.0
|