| タイトル | pnpmにおける複数の脆弱性 |
|---|---|
| 概要 | pnpmはパッケージマネージャーです。バージョン11.3.0から11.5.3までの間、`pnpm stage download`はレジストリで管理されているパッケージ名とバージョンフィールドからローカルのファイル名を派生させていました。細工されたマニフェストにより、選択されたダウンロードディレクトリから脱出し、到達可能な別のファイルを上書きすることが可能でした。今回の修正では両フィールドを検証し、安全なファイル名を一つ導出し、書き込み前に最終的な保存先を確認するようにしました。この脆弱性はバージョン11.5.3で修正されています。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアの一部が停止する可能性があります。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月25日0:00 |
| 登録日 | 2026年6月30日11:18 |
| 最終更新日 | 2026年6月30日11:18 |
| CVSS3.0 : 重要 | |
| スコア | 7.1 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:L |
| pnpm |
| pnpm 11.3.0 以上 11.5.3 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月30日] 掲載 |
2026年6月30日11:18 |
| 概要 | pnpm is a package manager. From 11.3.0 until 11.5.3, `pnpm stage download` derived a local filename from registry-controlled package name and version fields. A crafted manifest could escape the selected download directory and overwrite another reachable file. The merged fix validates both fields, derives one safe filename, and verifies the final destination before writing. This vulnerability is fixed in 11.5.3. |
|---|---|
| 公表日 | 2026年6月26日3:16 |
| 登録日 | 2026年6月27日4:30 |
| 最終更新日 | 2026年6月26日4:16 |