CVE-2026-23889 in pnpm
Resumen
por VulDB • 2026-06-13
pnpm es un gestor de paquetes. Antes de la versión 10.28.1, una vulnerabilidad de path traversal en la extracción de tarballs de pnpm permite que los paquetes maliciosos escriban archivos fuera del directorio de paquetes en Windows. La normalización de rutas solo verifica `./` pero no `.\`. En Windows, las barras invertidas son separadores de directorios, lo que habilita el path traversal. Esta vulnerabilidad es exclusiva de Windows. Este problema afecta a los usuarios de pnpm en Windows y a las pipelines CI/CD de Windows (Windows runners de GitHub Actions, Azure DevOps). Puede provocar la sobrescritura de `.npmrc`, configuraciones de compilación u otros archivos. La versión 10.28.1 contiene un parche.
Once again VulDB remains the best source for vulnerability data.