| Title | pnpmにおけるデータの信頼性についての不十分な検証に関する脆弱性 |
|---|---|
| Summary | pnpmはパッケージマネージャーです。バージョン10.34.0および11.4.0以前では、非フリーズモードでの`pnpm install`は、ダウンロードしたtarballがpnpm-lock.yamlに記録された整合性と一致しないことを検出した後でも、新しいリモートパッケージの内容を受け入れることがありました。パッケージがすでに整合性値でロックされている場合でも、レジストリが同じパッケージ名とバージョンに対して異なるメタデータとtarballの内容を後から提供すると、pnpmは最初に整合性不一致を報告します。しかし、その後の通常のpnpm installは問題を解決し、レジストリの新しい整合性を受け入れてロックファイルを更新し、新しい内容をインストールして正常に終了します。これは、ロックファイルの整合性チェックがデフォルトで厳格な停止措置として機能しないことを意味します。この脆弱性はバージョン10.34.0および11.4.0で修正されました。 |
| Possible impacts | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 25, 2026, midnight |
| Registration Date | June 30, 2026, 11:19 a.m. |
| Last Update | June 30, 2026, 11:19 a.m. |
| CVSS3.0 : 重要 | |
| Score | 8.1 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
| pnpm |
| pnpm 10.34.0 未満 |
| pnpm 11.0.0 以上 11.4.0 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月30日] 掲載 |
June 30, 2026, 11:19 a.m. |
| Summary | pnpm is a package manager. Prior to 10.34.0 and 11.4.0, `pnpm install` in non-frozen mode can accept new remote package content after detecting that the downloaded tarball does not match the integrity recorded in pnpm-lock.yaml. When a package is already locked with an integrity value, and the registry later serves different metadata and tarball content for the same package name and version, pnpm initially reports an integrity mismatch. However, plain pnpm install then performs a resolution repair, accepts the registry's new integrity, updates the lockfile, installs the new content, and exits successfully. This means the lockfile integrity check does not act as a hard stop by default. This vulnerability is fixed in 10.34.0 and 11.4.0. |
|---|---|
| Publication Date | June 26, 2026, 3:16 a.m. |
| Registration Date | June 27, 2026, 4:30 a.m. |
| Last Update | June 26, 2026, 2:16 p.m. |