製品・ソフトウェアに関する情報
Vulnerability Search
pnpmにおける複数の脆弱性
Title pnpmにおける複数の脆弱性
Summary

pnpmはパッケージマネージャーです。バージョン11.3.0から11.5.3までの間、`pnpm stage download`はレジストリで管理されているパッケージ名とバージョンフィールドからローカルのファイル名を派生させていました。細工されたマニフェストにより、選択されたダウンロードディレクトリから脱出し、到達可能な別のファイルを上書きすることが可能でした。今回の修正では両フィールドを検証し、安全なファイル名を一つ導出し、書き込み前に最終的な保存先を確認するようにしました。この脆弱性はバージョン11.5.3で修正されています。

Possible impacts ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアの一部が停止する可能性があります。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date June 25, 2026, midnight
Registration Date June 30, 2026, 11:18 a.m.
Last Update June 30, 2026, 11:18 a.m.
CVSS3.0 : 重要
Score 7.1
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:L
Affected System
pnpm
pnpm 11.3.0 以上 11.5.3 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2026年06月30日]
  掲載		 June 30, 2026, 11:18 a.m.
NVD Vulnerability Information
CVE-2026-55700
Summary

pnpm is a package manager. From 11.3.0 until 11.5.3, `pnpm stage download` derived a local filename from registry-controlled package name and version fields. A crafted manifest could escape the selected download directory and overwrite another reachable file. The merged fix validates both fields, derives one safe filename, and verifies the final destination before writing. This vulnerability is fixed in 11.5.3.

Publication Date June 26, 2026, 3:16 a.m.
Registration Date June 27, 2026, 4:30 a.m.
Last Update June 26, 2026, 4:16 a.m.
Related information, measures and tools
Common Vulnerabilities List