← Back
CVE-2025-69262
high
CVSS 7.5
pnpm is a package manager. Versions 6.25.0 through 10.26.2 have a Command Injection vulnerability when using environment variable substitution in .npmrc configuration files with tokenHelper settings....
Summary
pnpm is a package manager. Versions 6.25.0 through 10.26.2 have a Command Injection vulnerability when using environment variable substitution in .npmrc configuration files with tokenHelper settings. An attacker who can control environment variables during pnpm operations could achieve Remote Code E...
AI summary openai / gpt-4o
pnpmはパッケージ管理ツールで、バージョン6.25.0から10.26.2にコマンドインジェクションの脆弱性があります。これにより、環境変数が操作可能な攻撃者がビルド環境でのリモートコード実行を実現できる可能性があります。この問題はバージョン10.27.0で修正済みです。
❓ What is the problem
pnpmの特定バージョンにおけるコマンドインジェクションの脆弱性。
📍 Affected scope
pnpmバージョン6.25.0から10.26.2の環境変数置換とtokenHelper設定。
🔥 Severity
攻撃者がビルド環境でリモートコード実行を達成できるため、重大。
🔧 How to fix
pnpmをバージョン10.27.0にアップデートする。
🛡️ Workaround
情報なし
🔍 Detection
環境での特定バージョンと設定の使用を確認する。