CVE-2026-23890 in pnpmالمعلومات

الملخص

بحسب VulDB • 21/05/2026

pnpm هو مدير حزم. قبل الإصدار 10.28.1، كانت هناك ثغرة في اجتياز المسار (path traversal) في ربط الأوامر الثنائية (bin linking) الخاصة بـ pnpm، مما يسمح للحزم الضارة على npm بإنشاء أغطية تنفيذية (shims) أو روابط رمزية (symlinks) خارج مجلد `node_modules/.bin`. تتجاوز الأسماء التي تبدأ بـ `@` عملية التحقق من الصحة، وبعد تطبيع النطاق (scope normalization)، تبقى تسلسلات اجتياز المسار مثل `../../` سليمة. تؤثر هذه المشكلة على جميع مستخدمي pnpm الذين يقومون بتثبيت حزم npm، بالإضافة إلى خطوط أنابيب التكامل المستمر والنشر المستمر (CI/CD) التي تستخدم pnpm. يمكن أن يؤدي ذلك إلى الكتابة فوق ملفات التكوين، أو النصوص البرمجية، أو ملفات حساسة أخرى. يحتوي الإصدار 10.28.1 على تصحيح للثغرة.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

16/01/2026

إفشاء

27/01/2026

الاعتدال

تمت الموافقة

إدخال

VDB-342908

EPSS

0.00438

KEV

لا

النشاطات

منخفض جدًا

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!