CVE-2026-23889 in pnpminformazioni

Riassunto

di VulDB • 15/06/2026

pnpm è un gestore di pacchetti. Prima della versione 10.28.1, una vulnerabilità di path traversal nell'estrazione dei tarball da parte di pnpm consente ai pacchetti malevoli di scrivere file al di fuori della directory del pacchetto su Windows. La normalizzazione del percorso verifica solo `./` ma non `.\`. Su Windows, le barre rovesciate sono separatori di directory, consentendo la traversamento del percorso (path traversal). Questa vulnerabilità è specifica per Windows. Questo problema colpisce gli utenti pnpm su Windows e i pipeline CI/CD su Windows (runner GitHub Actions su Windows, Azure DevOps). Può portare alla sovrascrittura di `.npmrc`, file di configurazione della build o altri file. La versione 10.28.1 contiene una patch.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

16/01/2026

Divulgazione

27/01/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00433

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!