pnpm 10.34.5リリース、lockfileやパッケージ名を悪用したパストラバーサルの脆弱性を修正
ワンポイントlockfileやパッケージ名を悪用した仮想ストア外書き込みの脆弱性を修正
この記事は pnpm の一次情報をもとにAIが再構成したものです。 原文を読む →
pnpm 10.34.5では、悪意のあるpnpm-lock.yamlやスコープ付きパッケージ名を利用して仮想ストア外にファイルを書き込めるパストラバーサル脆弱性が2件修正されました。あわせてpnpm v12への切り替え・自動更新の不具合と、pnpm-workspace.yaml経由のプロキシ設定における環境変数展開の問題も解消されています。
全文を読むには有料プランへの登録が必要です。
プランを見る →