pnpm — менеджер пакетов. Версии с 10.0.0 по 10.25 позволяют зависимостям, размещенным на git, выполнять произвольный код во время установки pnpm, обходя функцию безопасности v10 «Выполнение сценариев жизненного цикла зависимостей отключено по умолчанию». Хотя pnpm v10 блокирует сценарии после установки с помощью механизма onlyBuiltDependities, зависимости git по-прежнему могут выполнять сценарии подготовки, предварительной публикации и предварительной упаковки на этапе выборки, обеспечивая удаленное выполнение кода без согласия или одобрения пользователя. Эта проблема исправлена в версии 10.26.0.
Показать оригинальное описание (английский)
pnpm is a package manager. Versions 10.0.0 through 10.25 allow git-hosted dependencies to execute arbitrary code during pnpm install, circumventing the v10 security feature "Dependency lifecycle scripts execution disabled by default". While pnpm v10 blocks postinstall scripts via the onlyBuiltDependencies mechanism, git dependencies can still execute prepare, prepublish, and prepack scripts during the fetch phase, enabling remote code execution without user consent or approval. This issue is fixed in version 10.26.0.
Матрица атаки
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Тип уязвимости (CWE)
Уязвимые продукты
Известные затронутые конфигурации ПО
| Конфигурация | От (включительно) | До (не включая) |
|---|---|---|
|
cpe:2.3:a:pnpm:pnpm:*:*:*:*:*:*:node.js:*
Pnpm:Pnpm
|
10.0.0 | 10.26.0 |