PT-2026-55947 · Pnpm · Pnpm

Publicado

2026-07-06

·

Atualizado

2026-07-06

·

CVE-2026-59195

CVSS v3.1

8.2

Alta

VetorAV:N/AC:L/PR:N/UI:R/S:C/C:N/I:H/A:L
Nome do Software Vulnerável e Versões Afetadas pnpm versões anteriores a 10.34.4 pnpm versões anteriores a 11.8.0
Description o pnpm aceita nomes de pacotes da seção configDependencies do env lockfile e os utiliza diretamente ao criar links simbólicos de dependência de configuração em node modules/.pnpm-config. Um repositório malicioso pode enviar um arquivo pnpm-lock.yaml manipulado onde o documento env-lockfile contém um nome de dependência de configuração com formato de traversal. Durante o processo de instalação, o pnpm cria um link simbólico em um caminho derivado desse nome, o que pode levar ao path traversal (travessia de diretório).
Recommendations Atualize para a versão 10.34.4. Atualize para a versão 11.8.0.

Correção

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-59195

Produtos afetados

Pnpm