CVE-2026-23890 in pnpminformazioni

Riassunto

di VulDB • 20/06/2026

pnpm è un package manager. Prima della versione 10.28.1, una vulnerabilità di path traversal nei collegamenti binari (bin linking) di pnpm consente ai pacchetti npm malevoli di creare shim eseguibili o symlink al di fuori di `node_modules/.bin`. I nomi dei bin che iniziano con `@` bypassano la validazione e, dopo la normalizzazione dello scope, le sequenze di path traversal come `../../` rimangono intatte. Questo problema interessa tutti gli utenti pnpm che installano pacchetti npm e i pipeline CI/CD che utilizzano pnpm. Può portare alla sovrascrittura di file di configurazione, script o altri file sensibili. La versione 10.28.1 contiene una patch.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

16/01/2026

Divulgazione

27/01/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00438

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!