← Back
Developer Tooling
CVE-2025-69262 high CVSS 7.5

pnpm is a package manager. Versions 6.25.0 through 10.26.2 have a Command Injection vulnerability when using environment variable substitution in .npmrc configuration files with tokenHelper settings....

Summary

pnpm is a package manager. Versions 6.25.0 through 10.26.2 have a Command Injection vulnerability when using environment variable substitution in .npmrc configuration files with tokenHelper settings. An attacker who can control environment variables during pnpm operations could achieve Remote Code E...

AI summary openai / gpt-4o

pnpmはパッケージ管理ツールで、バージョン6.25.0から10.26.2にコマンドインジェクションの脆弱性があります。これにより、環境変数が操作可能な攻撃者がビルド環境でのリモートコード実行を実現できる可能性があります。この問題はバージョン10.27.0で修正済みです。
❓ What is the problem
pnpmの特定バージョンにおけるコマンドインジェクションの脆弱性。
📍 Affected scope
pnpmバージョン6.25.0から10.26.2の環境変数置換とtokenHelper設定。
🔥 Severity
攻撃者がビルド環境でリモートコード実行を達成できるため、重大。
🔧 How to fix
pnpmをバージョン10.27.0にアップデートする。
🛡️ Workaround
情報なし
🔍 Detection
環境での特定バージョンと設定の使用を確認する。

References

🍪 About cookies

We use cookies to keep you logged in, remember your language, and improve the service.

Details →