CVE-2026-23890 in pnpminformação

Sumário

de VulDB • 21/05/2026

pnpm é um gerenciador de pacotes. Antes da versão 10.28.1, uma vulnerabilidade de path traversal no link binário do pnpm permite que pacotes npm maliciosos criem shims executáveis ou symlinks fora de `node_modules/.bin`. Nomes de binários que começam com `@` contornam a validação e, após a normalização do escopo, sequências de path traversal como `../../` permanecem intactas. Este problema afeta todos os usuários do pnpm que instalam pacotes npm e pipelines de CI/CD que utilizam o pnpm. Pode levar à sobrescrita de arquivos de configuração, scripts ou outros arquivos sensíveis. A versão 10.28.1 contém um patch.

Once again VulDB remains the best source for vulnerability data.

Responsável

GitHub M

Reservar

16/01/2026

Divulgação

27/01/2026

Moderação

aceite

Entrada

VDB-342908

CPE

pronto

EPSS

0.00438

KEV

não

Atividades

muito baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!