CVE-2026-23889 in pnpminformación

Resumen

por VulDB • 2026-06-13

pnpm es un gestor de paquetes. Antes de la versión 10.28.1, una vulnerabilidad de path traversal en la extracción de tarballs de pnpm permite que los paquetes maliciosos escriban archivos fuera del directorio de paquetes en Windows. La normalización de rutas solo verifica `./` pero no `.\`. En Windows, las barras invertidas son separadores de directorios, lo que habilita el path traversal. Esta vulnerabilidad es exclusiva de Windows. Este problema afecta a los usuarios de pnpm en Windows y a las pipelines CI/CD de Windows (Windows runners de GitHub Actions, Azure DevOps). Puede provocar la sobrescritura de `.npmrc`, configuraciones de compilación u otros archivos. La versión 10.28.1 contiene un parche.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Reservar

2026-01-16

Divulgación

2026-01-27

Moderación

aceptado

Artículo

VDB-342907

CPE

listo

EPSS

0.00433

KEV

no

Actividades

muy bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!