CVE-2026-23889 in pnpmالمعلومات

الملخص

بحسب VulDB • 13/06/2026

يُعد pnpm مدير حزم. قبل الإصدار 10.28.1، تتيح ثغرة عبور المسار (Path Traversal) في استخراج ملفات tarball الخاصة بـ pnpm للحزم الخبيثة كتابة الملفات خارج دليل الحزمة على نظام Windows. لا يتحقق تطبيع المسار إلا من `./` وليس من `.\`. وفي نظام Windows، تُستخدم الشرطة المائلة للخلف كفاصل بين الدلائل، مما يتيح عبور المسار. هذه الثغرة خاصة بنظام Windows فقط. تؤثر هذه المشكلة على مستخدمي pnpm على Windows وأنظمة CI/CD الخاصة بـ Windows (مشغلو GitHub Actions لنظام Windows وAzure DevOps). يمكن أن تؤدي إلى الكتابة فوق ملفات `.npmrc` أو تكوينات البناء أو ملفات أخرى. يحتوي الإصدار 10.28.1 على تصحيح للثغرة.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

GitHub M

حجز

16/01/2026

إفشاء

27/01/2026

الاعتدال

تمت الموافقة

إدخال

VDB-342907

EPSS

0.00433

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!