CVE-2026-23889 in pnpmИнформация

Сводка

по VulDB • 13.06.2026

pnpm — это менеджер пакетов. До версии 10.28.1 в pnpm уязвимость обхода пути (path traversal) при распаковке tarball-архивов позволяла вредоносным пакетам записывать файлы вне каталога пакета в среде Windows. Нормализация пути проверяет только наличие `./`, но не `\.`. В Windows обратные слеши являются разделителями каталогов, что позволяет осуществлять обход пути. Данная уязвимость актуальна только для Windows. Проблема затрагивает пользователей pnpm в среде Windows и конвейеры CI/CD на базе Windows (агенты GitHub Actions под управлением Windows, Azure DevOps). Это может привести к перезаписи файлов `.npmrc`, конфигураций сборки или других файлов. Версия 10.28.1 содержит исправление.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Ответственный

GitHub M

Резервировать

16.01.2026

Раскрытие

27.01.2026

Модерация

принято

Вход

VDB-342907

EPSS

0.00433

KEV

Нет

Деятельности

Очень низкий

Источники

Want to know what is going to be exploited?

We predict KEV entries!