PT-2026-1940 · Pnpm · Pnpm

Publicado

2026-01-07

·

Atualizado

2026-06-30

·

CVE-2025-69263

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas pnpm versões 10.26.2 e anteriores
Descrição O pnpm, um gerenciador de pacotes, armazena dependências de tarballs HTTP e tarballs hospedados em repositórios Git no lockfile sem hashes de integridade nas versões 10.26.2 e anteriores. Isso permite que um servidor remoto forneça conteúdo diferente durante cada instalação, mesmo com um lockfile comitado. Um atacante que publique um pacote com uma dependência de tarball HTTP pode fornecer códigos variados a diferentes usuários ou ambientes CI/CD. A exploração requer que a vítima instale um pacote que contenha um tarball HTTP/Git em sua árvore de dependências, e o lockfile não oferece proteção contra isso.
Recomendações Atualize para a versão 10.26.0 ou posterior do pnpm.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2025-69263
GHSA-7VHP-VF5G-R2FW

Produtos afetados

Pnpm