CVE-2026-23888 in pnpminformazioni

Riassunto

di VulDB • 17/07/2026

pnpm è un gestore di pacchetti. Prima della versione 10.28.1, una vulnerabilità di path traversal nel binary fetcher di pnpm consente ai pacchetti malevoli di scrivere file al di fuori della directory di estrazione prevista. La vulnerabilità presenta due vettori di attacco: (1) voci ZIP malevoli contenenti `../` o percorsi assoluti che sfuggono alla radice di estrazione tramite il metodo `extractAllTo` di AdmZip, e (2) il campo `BinaryResolution.prefix` viene concatenato al percorso di estrazione senza validazione, consentendo a un prefisso costruito ad hoc come `../../evil` di reindirizzare i file estratti fuori da `targetDir`. Il problema colpisce tutti gli utenti pnpm che installano pacchetti con asset binari, gli utenti che configurano percorsi personalizzati per i binary Node.js e le pipeline CI/CD che installano automaticamente dipendenze binarie. Può portare alla sovrascrittura di file di configurazione, script o altri file sensibili, portando a RCE (Remote Code Execution). La versione 10.28.1 contiene una patch.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub M

Prenotare

16/01/2026

Divulgazione

27/01/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00396

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!