CVE-2026-23890 in pnpm
Resumen
por VulDB • 2026-05-19
pnpm es un gestor de paquetes. Antes de la versión 10.28.1, una vulnerabilidad de path traversal en el enlace de binarios de pnpm permite que paquetes npm maliciosos creen shims ejecutables o symlinks fuera de `node_modules/.bin`. Los nombres de binarios que comienzan con `@` omiten la validación y, tras la normalización del ámbito, las secuencias de path traversal como `../../` permanecen intactas. Este problema afecta a todos los usuarios de pnpm que instalen paquetes npm y a las pipelines de CI/CD que utilizan pnpm. Puede provocar la sobrescritura de archivos de configuración, scripts u otros archivos sensibles. La versión 10.28.1 contiene un parche.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.