CVE-2024-53866

Nome do software vulnerável e versões afetadas:

Versões do pnpm anteriores à 9.15.0

Descrição:

O gerenciador de pacotes pnpm parece lidar incorretamente com substituições e cache global. Isso pode levar a que substituições de um espaço de trabalho vazem para os metadados do npm salvos no cache global, afetando outros espaços de trabalho. As instalações, por padrão, não revalidam os dados, inclusive na primeira geração do arquivo de bloqueio. Isso contraria a expectativa de que ignore-scripts seja suficiente para impedir a execução imediata de código durante a instalação. A integridade do estado global é perdida por meio de operações que se esperaria que fossem seguras, permitindo a execução de código arbitrário posteriormente durante as instalações.

Recomendações:

Para versões anteriores à 9.15.0, atualize para a versão 9.15.0 para corrigir o problema.

Como solução alternativa temporária, use diretórios de cache e armazenamento separados em cada espaço de trabalho.