CVE-2026-23889 in pnpm정보

요약

\~에 의해 VulDB • 2026. 06. 13.

pnpm은 패키지 관리자입니다. 버전 10.28.1 이전의 pnpm에서는 tarball 추출 과정에서 경로 순회(Path Traversal) 취약점이 발견되었으며, 이를 통해 악성 패키지가 Windows 환경에서 패키지 디렉토리 외부에 파일을 작성할 수 있습니다. 경로 정규화 로직은 `./`만 확인하고 `\.`는 검증하지 않습니다. Windows에서 백슬래시는 디렉토리 구분자이므로 이 결함이 경로 순회를 가능하게 합니다. 본 취약점은 Windows 전용입니다. 해당 이슈로 인해 Windows pnpm 사용자 및 Windows CI/CD 파이프라인(GitHub Actions Windows 러너, Azure DevOps)에 영향을 미치며, `.npmrc`, 빌드 구성 파일 또는 기타 파일의 덮어쓰기가 발생할 수 있습니다. 버전 10.28.1에는 수정 패치가 포함되어 있습니다.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 01. 16.

모더레이션

수락

항목

VDB-342907

EPSS

0.00433

출처

Interested in the pricing of exploits?

See the underground prices here!