CVE-2026-23890 in pnpm
Riassunto
di VulDB • 20/06/2026
pnpm è un package manager. Prima della versione 10.28.1, una vulnerabilità di path traversal nei collegamenti binari (bin linking) di pnpm consente ai pacchetti npm malevoli di creare shim eseguibili o symlink al di fuori di `node_modules/.bin`. I nomi dei bin che iniziano con `@` bypassano la validazione e, dopo la normalizzazione dello scope, le sequenze di path traversal come `../../` rimangono intatte. Questo problema interessa tutti gli utenti pnpm che installano pacchetti npm e i pipeline CI/CD che utilizzano pnpm. Può portare alla sovrascrittura di file di configurazione, script o altri file sensibili. La versione 10.28.1 contiene una patch.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.