pnpm 10.34.2公開、リポジトリ側の.npmrcによる環境変数漏洩を防ぐ緊急セキュリティ修正

pnpm重要度 85原文公開: 2026/6/11

ワンポイント リ ポ ジ ト リ 側 . n p m r c か ら の 環 境 変 数 展 開 を 全 面 禁 止

この記事は pnpm の一次情報をもとにAIが再構成したものです。 原文を読む →

pnpm 10.34.2は、プロジェクトの.npmrcやpnpm-workspace.yamlに書かれた${ENV_VAR}展開機能を悪用してnpmトークンなどの環境変数を外部レジストリに漏洩させる脆弱性(GHSA-3qhv-2rgh-x77r)を修正しました。合わせてpackage-managerバイナリの署名検証やNode.jsダウンロードの署名確認など、サプライチェーン攻撃対策も強化されています。認証設定が壊れる可能性があるため、既存ユーザーは移行対応が必要です。

全文を読むには有料プランへの登録が必要です。

プランを見る →