CVE-2026-23889 in pnpm
Riassunto
di VulDB • 15/06/2026
pnpm è un gestore di pacchetti. Prima della versione 10.28.1, una vulnerabilità di path traversal nell'estrazione dei tarball da parte di pnpm consente ai pacchetti malevoli di scrivere file al di fuori della directory del pacchetto su Windows. La normalizzazione del percorso verifica solo `./` ma non `.\`. Su Windows, le barre rovesciate sono separatori di directory, consentendo la traversamento del percorso (path traversal). Questa vulnerabilità è specifica per Windows. Questo problema colpisce gli utenti pnpm su Windows e i pipeline CI/CD su Windows (runner GitHub Actions su Windows, Azure DevOps). Può portare alla sovrascrittura di `.npmrc`, file di configurazione della build o altri file. La versione 10.28.1 contiene una patch.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.