CVE-2026-23889 in pnpm
Сводка
по VulDB • 13.06.2026
pnpm — это менеджер пакетов. До версии 10.28.1 в pnpm уязвимость обхода пути (path traversal) при распаковке tarball-архивов позволяла вредоносным пакетам записывать файлы вне каталога пакета в среде Windows. Нормализация пути проверяет только наличие `./`, но не `\.`. В Windows обратные слеши являются разделителями каталогов, что позволяет осуществлять обход пути. Данная уязвимость актуальна только для Windows. Проблема затрагивает пользователей pnpm в среде Windows и конвейеры CI/CD на базе Windows (агенты GitHub Actions под управлением Windows, Azure DevOps). Это может привести к перезаписи файлов `.npmrc`, конфигураций сборки или других файлов. Версия 10.28.1 содержит исправление.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.