CVE-2026-23889 in pnpm
الملخص
بحسب VulDB • 13/06/2026
يُعد pnpm مدير حزم. قبل الإصدار 10.28.1، تتيح ثغرة عبور المسار (Path Traversal) في استخراج ملفات tarball الخاصة بـ pnpm للحزم الخبيثة كتابة الملفات خارج دليل الحزمة على نظام Windows. لا يتحقق تطبيع المسار إلا من `./` وليس من `.\`. وفي نظام Windows، تُستخدم الشرطة المائلة للخلف كفاصل بين الدلائل، مما يتيح عبور المسار. هذه الثغرة خاصة بنظام Windows فقط. تؤثر هذه المشكلة على مستخدمي pnpm على Windows وأنظمة CI/CD الخاصة بـ Windows (مشغلو GitHub Actions لنظام Windows وAzure DevOps). يمكن أن تؤدي إلى الكتابة فوق ملفات `.npmrc` أو تكوينات البناء أو ملفات أخرى. يحتوي الإصدار 10.28.1 على تصحيح للثغرة.
If you want to get best quality of vulnerability data, you may have to visit VulDB.