pnpmはパッケージマネージャーです。バージョン10.28.1以前のpnpmには、バイナリフェッチャーにパス・トラバーサルの脆弱性が存在し、悪意のあるパッケージが意図された展開ディレクトリの外側にファイルを書き込むことを可能にします。この脆弱性には2つの攻撃ベクターがあります。1つ目はAdmZipの`extractAllTo`を介して展開ルートを逃れる`../`や絶対パスを含む悪意のあるZIPエントリです。2つ目は検証なしに展開パスに連結される`BinaryResolution.prefix`フィールドにより、`../../evil`のような細工されたプレフィックスで抽出ファイルを`targetDir`の外にリダイレクト可能であることです。この問題はバイナリ資産を含むパッケージをインストールするすべてのpnpmユーザー、カスタムのNode.jsバイナリ位置を設定するユーザー、およびバイナリ依存関係を自動インストールするCI/CDパイプラインに影響を与えます。設定ファイル、スクリプト、その他の機密ファイルの上書きを引き起こし、最終的にリモートコード実行(RCE)につながる可能性があります。本問題はバージョン10.28.1で修正されています。
|