← 戻る
概要
pnpm is a package manager. Versions 6.25.0 through 10.26.2 have a Command Injection vulnerability when using environment variable substitution in .npmrc configuration files with tokenHelper settings. An attacker who can control environment variables during pnpm operations could achieve Remote Code E...
AI要約 openai / gpt-4o
pnpmはパッケージ管理ツールで、バージョン6.25.0から10.26.2にコマンドインジェクションの脆弱性があります。これにより、環境変数が操作可能な攻撃者がビルド環境でのリモートコード実行を実現できる可能性があります。この問題はバージョン10.27.0で修正済みです。
❓ 何が問題か
pnpmの特定バージョンにおけるコマンドインジェクションの脆弱性。
📍 影響範囲
pnpmバージョン6.25.0から10.26.2の環境変数置換とtokenHelper設定。
🔥 重要度
攻撃者がビルド環境でリモートコード実行を達成できるため、重大。
🔧 修正方法
pnpmをバージョン10.27.0にアップデートする。
🛡️ 暫定回避
情報なし
🔍 検知方法
環境での特定バージョンと設定の使用を確認する。