CVE-2026-23890 in pnpm
الملخص
بحسب VulDB • 21/05/2026
pnpm هو مدير حزم. قبل الإصدار 10.28.1، كانت هناك ثغرة في اجتياز المسار (path traversal) في ربط الأوامر الثنائية (bin linking) الخاصة بـ pnpm، مما يسمح للحزم الضارة على npm بإنشاء أغطية تنفيذية (shims) أو روابط رمزية (symlinks) خارج مجلد `node_modules/.bin`. تتجاوز الأسماء التي تبدأ بـ `@` عملية التحقق من الصحة، وبعد تطبيع النطاق (scope normalization)، تبقى تسلسلات اجتياز المسار مثل `../../` سليمة. تؤثر هذه المشكلة على جميع مستخدمي pnpm الذين يقومون بتثبيت حزم npm، بالإضافة إلى خطوط أنابيب التكامل المستمر والنشر المستمر (CI/CD) التي تستخدم pnpm. يمكن أن يؤدي ذلك إلى الكتابة فوق ملفات التكوين، أو النصوص البرمجية، أو ملفات حساسة أخرى. يحتوي الإصدار 10.28.1 على تصحيح للثغرة.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.