anonhaven

CVE-2026-23888

MEDIUM CVSS 3.1: 6,5 EPSS 0.01%
Обновлено 28 января 2026
Pnpm
Параметр Значение
CVSS 6,5 (MEDIUM)
Уязвимые версии до 10.28.1
Устранено в версии 10.28.1
Тип уязвимости CWE-23 (Обход относительного пути), CWE-22 (Обход пути), CWE-426
Поставщик Pnpm
Публичный эксплойт Нет

pnpm — менеджер пакетов. До версии 10.28.1 уязвимость обхода пути в двоичном сборщике pnpm позволяла вредоносным пакетам записывать файлы за пределы предполагаемого каталога для извлечения. Уязвимость имеет два вектора атаки: (1) вредоносные записи ZIP, содержащие `../` или абсолютные пути, которые выходят из корня извлечения с помощью `extractAllTo` AdmZip, и (2) поле `BinaryResolution.prefix` объединяется в путь извлечения без проверки, что позволяет созданному префиксу типа `../../evil` перенаправлять извлеченные файлы за пределы `targetDir`.

Эта проблема затрагивает всех пользователей pnpm, которые устанавливают пакеты с двоичными ресурсами, пользователей, которые настраивают собственные двоичные расположения Node.js, и конвейеров CI/CD, которые автоматически устанавливают двоичные зависимости. Это может привести к перезаписи файлов конфигурации, сценариев или других конфиденциальных файлов, что приведет к RCE. Версия 10.28.1 содержит патч.

Показать оригинальное описание (EN)

pnpm is a package manager. Prior to version 10.28.1, a path traversal vulnerability in pnpm's binary fetcher allows malicious packages to write files outside the intended extraction directory. The vulnerability has two attack vectors: (1) Malicious ZIP entries containing `../` or absolute paths that escape the extraction root via AdmZip's `extractAllTo`, and (2) The `BinaryResolution.prefix` field is concatenated into the extraction path without validation, allowing a crafted prefix like `../../evil` to redirect extracted files outside `targetDir`. The issue impacts all pnpm users who install packages with binary assets, users who configure custom Node.js binary locations and CI/CD pipelines that auto-install binary dependencies. It can lead to overwriting config files, scripts, or other sensitive files leading to RCE. Version 10.28.1 contains a patch.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-23 Relative Path Traversal (Обход относительного пути)
CWE-22 Path Traversal (Обход пути)
CWE-426

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Pnpm Pnpm
cpe:2.3:a:pnpm:pnpm:*:*:*:*:*:node.js:*:*
 10.28.1

Ссылки 3

https://github.com/pnpm/pnpm/commit/5c382f0ca3b7cc49963b94677426e66539dcb3f5
security-advisories@github.com
https://github.com/pnpm/pnpm/releases/tag/v10.28.1
security-advisories@github.com
https://github.com/pnpm/pnpm/security/advisories/GHSA-6pfh-p556-v868
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-24131

Pnpm

6,7

CVE-2026-24056

Pnpm

6,7

CVE-2026-23890

Pnpm

6,5

CVE-2026-23889

Microsoft

6,5

CVE-2025-69262

Pnpm

7,8