← Retour
CVE-2025-69262
high
CVSS 7.5
pnpm is a package manager. Versions 6.25.0 through 10.26.2 have a Command Injection vulnerability when using environment variable substitution in .npmrc configuration files with tokenHelper settings....
Résumé
pnpm is a package manager. Versions 6.25.0 through 10.26.2 have a Command Injection vulnerability when using environment variable substitution in .npmrc configuration files with tokenHelper settings. An attacker who can control environment variables during pnpm operations could achieve Remote Code E...
Résumé IA openai / gpt-4o
Une vulnérabilité référencée **CVE-2025-69262** a été découverte dans pnpm.
Des attaquants peuvent cibler un point d'entrée spécifique comme ``tokenHelper`` à distance pour détourner le produit.
L'exploitation peut entraîner la prise de contrôle totale du système. Score CVSS : 7.5/10.
Action : mettez à jour pnpm vers **>=10.27.0** ou supérieur.
En cas de doute, contactez votre service informatique ou cherchez « pnpm CVE-2025-69262 » sur le site de l'éditeur.
CVE-2025-69262 (pnpm) — CWE-78 / CVSS v3 7.5
Vecteur d'attaque : local / sans interaction utilisateur
Surface d'attaque : `tokenHelper` / `loadToken` / `trustPolicyIgnoreAfter` / `node_modules`
Versions affectées : `>=6.25.0 <10.27.0`
Correctif : `>=10.27.0` — appliquer immédiatement
Plan : 1) Audit SBOM, 2) Mise à jour staging→prod, 3) Surveillance WAF/proxy sur les endpoints affectés, 4) Recherche d'IOC dans les logs.
Réfs : voir GHSA / avis éditeur / version corrigée liés sur cette page.
❓ Quel est le problème
pnpmの特定バージョンにおけるコマンドインジェクションの脆弱性。
📍 Périmètre concerné
pnpmバージョン6.25.0から10.26.2の環境変数置換とtokenHelper設定。
🔥 Gravité
攻撃者がビルド環境でリモートコード実行を達成できるため、重大。
🔧 Comment corriger
pnpmをバージョン10.27.0にアップデートする。
🛡️ Contournement
情報なし
🔍 Détection
環境での特定バージョンと設定の使用を確認する。