pnpm — менеджер пакетов. До версии 10.28.1 уязвимость обхода пути в извлечении tar-архива pnpm позволяла вредоносным пакетам записывать файлы за пределы каталога пакета в Windows. Нормализация пути проверяет только `./`, но не `.\`.
В Windows обратная косая черта является разделителем каталогов, обеспечивая возможность обхода пути. Эта уязвимость доступна только для Windows. Эта проблема затрагивает пользователей Windows pnpm и конвейеры Windows CI/CD (действия GitHub для выполнения Windows, Azure DevOps).
Это может привести к перезаписи `.npmrc`, конфигураций сборки или других файлов. Версия 10.28.1 содержит патч.
Показать оригинальное описание (EN)
pnpm is a package manager. Prior to version 10.28.1, a path traversal vulnerability in pnpm's tarball extraction allows malicious packages to write files outside the package directory on Windows. The path normalization only checks for `./` but not `.\`. On Windows, backslashes are directory separators, enabling path traversal. This vulnerability is Windows-only. This issue impacts Windows pnpm users and Windows CI/CD pipelines (GitHub Actions Windows runners, Azure DevOps). It can lead to overwriting `.npmrc`, build configs, or other files. Version 10.28.1 contains a patch.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Pnpm Pnpm
cpe:2.3:a:pnpm:pnpm:*:*:*:*:*:node.js:*:*
|
— |
10.28.1
|
|
Microsoft Windows
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*
|
— | — |