Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-01029

Опубликовано: 21 янв. 2026
Источник: fstec
CVSS3: 5.5
CVSS2: 4.9
EPSS Низкий

Описание

Уязвимость функций fs.statSync() и fs.readFileSync() сценария store/cafs/src/addFilesFromDir.ts менеджера пакетов pnpm связана с неверным определением ссылки перед доступом к файлу. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

pnpm

Версия ПО

до 10.28.2 (pnpm)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,5)
Средний уровень опасности (оценка CVSS 4.0 составляет 6,7)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/pnpm/pnpm/commit/b277b45bc35ae77ca72d7634d144bbd58a48b70f
https://github.com/pnpm/pnpm/releases/tag/v10.28.2
Компенсирующие меры:
Используйте lstatSync для обнаружения символических ссылок и отклонения тех, которые указывают за пределы корневого каталога.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 5%
0.00021
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2026-24056

CVSS3: 6.5
nvd
8 дней назад

pnpm is a package manager. Prior to version 10.28.2, when pnpm installs a `file:` (directory) or `git:` dependency, it follows symlinks and reads their target contents without constraining them to the package root. A malicious package containing a symlink to an absolute path (e.g., `/etc/passwd`, `~/.ssh/id_rsa`) causes pnpm to copy that file's contents into `node_modules`, leaking local data. The vulnerability only affects `file:` and `git:` dependencies. Registry packages (npm) have symlinks stripped during publish and are NOT affected. The issue impacts developers installing local/file dependencies andCI/CD pipelines installing git dependencies. It can lead to credential theft via symlinks to `~/.aws/credentials`, `~/.npmrc`, `~/.ssh/id_rsa`. Version 10.28.2 contains a patch.

debian логотип

CVE-2026-24056

CVSS3: 6.5
debian
8 дней назад

pnpm is a package manager. Prior to version 10.28.2, when pnpm install ...

github логотип

GHSA-m733-5w8f-5ggw

CVSS3: 6.5
github
8 дней назад

pnpm has symlink traversal in file:/git dependencies

EPSS

Процентиль: 5%
0.00021
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2