CVE-2026-23890 in pnpm
요약
\~에 의해 VulDB • 2026. 05. 21.
pnpm은 패키지 관리자입니다. 버전 10.28.1 이전의 pnpm에서는 bin 링크링 과정에서 경로 순회(Path Traversal) 취약점이 존재하여, 악의적인 npm 패키지가 `node_modules/.bin` 외부에 실행 파일 shim 또는 심볼릭 링크를 생성할 수 있습니다. `@`로 시작하는 bin 이름은 검증 과정을 우회하며, 범위(Scope) 정규화 후에도 `../../`와 같은 경로 순회 시퀀스가 그대로 유지됩니다. 이 문제는 npm 패키지를 설치하거나 pnpm을 사용하는 CI/CD 파이프라인을 사용하는 모든 pnpm 사용자에게 영향을 미칩니다. 이를 통해 구성 파일, 스크립트 또는 기타 민감한 파일이 덮어쓰일 수 있습니다. 버전 10.28.1에는 해당 문제가 수정된 패치가 포함되어 있습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.