Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-00957

Опубликовано: 17 янв. 2026
Источник: fstec
CVSS3: 6.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость сценариев fetching/binary-fetcher/src/index.ts и resolving/resolver-base/src/index.ts менеджера пакетов pnpm связана с неверным ограничением имени пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, записывать произвольные файлы

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

pnpm

Версия ПО

до 10.28.0 включительно (pnpm)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/pnpm/pnpm/commit/5c382f0ca3b7cc49963b94677426e66539dcb3f5
https://github.com/pnpm/pnpm/releases/tag/v10.28.1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 11%
0.00037
Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2026-23888

CVSS3: 6.5
nvd
8 дней назад

pnpm is a package manager. Prior to version 10.28.1, a path traversal vulnerability in pnpm's binary fetcher allows malicious packages to write files outside the intended extraction directory. The vulnerability has two attack vectors: (1) Malicious ZIP entries containing `../` or absolute paths that escape the extraction root via AdmZip's `extractAllTo`, and (2) The `BinaryResolution.prefix` field is concatenated into the extraction path without validation, allowing a crafted prefix like `../../evil` to redirect extracted files outside `targetDir`. The issue impacts all pnpm users who install packages with binary assets, users who configure custom Node.js binary locations and CI/CD pipelines that auto-install binary dependencies. It can lead to overwriting config files, scripts, or other sensitive files leading to RCE. Version 10.28.1 contains a patch.

debian логотип

CVE-2026-23888

CVSS3: 6.5
debian
8 дней назад

pnpm is a package manager. Prior to version 10.28.1, a path traversal ...

github логотип

GHSA-6pfh-p556-v868

CVSS3: 6.5
github
8 дней назад

pnpm: Binary ZIP extraction allows arbitrary file write via path traversal (Zip Slip)

EPSS

Процентиль: 11%
0.00037
Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2