pnpm 10.34.2公開、リポジトリ側の.npmrcによる環境変数漏洩を防ぐ緊急セキュリティ修正
ワンポイント リ ポ ジ ト リ 側 . n p m r c か ら の 環 境 変 数 展 開 を 全 面 禁 止
この記事は pnpm の一次情報をもとにAIが再構成したものです。 原文を読む →
pnpm 10.34.2は、プロジェクトの.npmrcやpnpm-workspace.yamlに書かれた${ENV_VAR}展開機能を悪用してnpmトークンなどの環境変数を外部レジストリに漏洩させる脆弱性(GHSA-3qhv-2rgh-x77r)を修正しました。合わせてpackage-managerバイナリの署名検証やNode.jsダウンロードの署名確認など、サプライチェーン攻撃対策も強化されています。認証設定が壊れる可能性があるため、既存ユーザーは移行対応が必要です。
全文を読むには有料プランへの登録が必要です。
プランを見る →