CVE-2026-23889 in pnpm
요약
\~에 의해 VulDB • 2026. 06. 13.
pnpm은 패키지 관리자입니다. 버전 10.28.1 이전의 pnpm에서는 tarball 추출 과정에서 경로 순회(Path Traversal) 취약점이 발견되었으며, 이를 통해 악성 패키지가 Windows 환경에서 패키지 디렉토리 외부에 파일을 작성할 수 있습니다. 경로 정규화 로직은 `./`만 확인하고 `\.`는 검증하지 않습니다. Windows에서 백슬래시는 디렉토리 구분자이므로 이 결함이 경로 순회를 가능하게 합니다. 본 취약점은 Windows 전용입니다. 해당 이슈로 인해 Windows pnpm 사용자 및 Windows CI/CD 파이프라인(GitHub Actions Windows 러너, Azure DevOps)에 영향을 미치며, `.npmrc`, 빌드 구성 파일 또는 기타 파일의 덮어쓰기가 발생할 수 있습니다. 버전 10.28.1에는 수정 패치가 포함되어 있습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.