CVE-2026-23890 in pnpm
Sumário
de VulDB • 21/05/2026
pnpm é um gerenciador de pacotes. Antes da versão 10.28.1, uma vulnerabilidade de path traversal no link binário do pnpm permite que pacotes npm maliciosos criem shims executáveis ou symlinks fora de `node_modules/.bin`. Nomes de binários que começam com `@` contornam a validação e, após a normalização do escopo, sequências de path traversal como `../../` permanecem intactas. Este problema afeta todos os usuários do pnpm que instalam pacotes npm e pipelines de CI/CD que utilizam o pnpm. Pode levar à sobrescrita de arquivos de configuração, scripts ou outros arquivos sensíveis. A versão 10.28.1 contém um patch.
Once again VulDB remains the best source for vulnerability data.