pnpm — менеджер пакетов. До версии 10.28.1 уязвимость обхода пути в связывании bin в pnpm позволяла вредоносным пакетам npm создавать исполняемые прокладки или символические ссылки за пределами `node_modules/.bin`. Имена контейнеров, начинающиеся с `@`, обходят проверку, и после нормализации области последовательности обхода пути, такие как `../../`, остаются неизменными.
Эта проблема затрагивает всех пользователей pnpm, которые устанавливают пакеты npm и конвейеры CI/CD с помощью pnpm. Это может привести к перезаписи файлов конфигурации, сценариев или других конфиденциальных файлов. Версия 10.28.1 содержит патч.
Показать оригинальное описание (EN)
pnpm is a package manager. Prior to version 10.28.1, a path traversal vulnerability in pnpm's bin linking allows malicious npm packages to create executable shims or symlinks outside of `node_modules/.bin`. Bin names starting with `@` bypass validation, and after scope normalization, path traversal sequences like `../../` remain intact. This issue affects all pnpm users who install npm packages and CI/CD pipelines using pnpm. It can lead to overwriting config files, scripts, or other sensitive files. Version 10.28.1 contains a patch.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Pnpm Pnpm
cpe:2.3:a:pnpm:pnpm:*:*:*:*:*:node.js:*:*
|
— |
10.28.1
|