PT-2026-55947 · Pnpm · Pnpm
Publicado
2026-07-06
·
Atualizado
2026-07-06
·
CVE-2026-59195
CVSS v3.1
8.2
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:H/A:L |
Nome do Software Vulnerável e Versões Afetadas
pnpm versões anteriores a 10.34.4
pnpm versões anteriores a 11.8.0
Description
o pnpm aceita nomes de pacotes da seção
configDependencies do env lockfile e os utiliza diretamente ao criar links simbólicos de dependência de configuração em node modules/.pnpm-config. Um repositório malicioso pode enviar um arquivo pnpm-lock.yaml manipulado onde o documento env-lockfile contém um nome de dependência de configuração com formato de traversal. Durante o processo de instalação, o pnpm cria um link simbólico em um caminho derivado desse nome, o que pode levar ao path traversal (travessia de diretório).Recommendations
Atualize para a versão 10.34.4.
Atualize para a versão 11.8.0.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pnpm