← Back
DevOps / CI-CD
CVE-2025-69263 high CVSS 7.5

pnpm is a package manager. Versions 10.26.2 and below store HTTP tarball dependencies (and git-hosted tarballs) in the lockfile without integrity hashes. This allows the remote server to serve differe...

Summary

pnpm is a package manager. Versions 10.26.2 and below store HTTP tarball dependencies (and git-hosted tarballs) in the lockfile without integrity hashes. This allows the remote server to serve different content on each install, even when a lockfile is committed. An attacker who publishes a package w...

AI summary openai / gpt-4o

pnpmは、バージョン10.26.2以下で、HTTP共有のtarball依存関係を整合性ハッシュなしでロックファイルに保存していました。これにより、悪意のあるサーバーが異なるコンテンツを各インストール時に提供する可能性があります。攻撃者はパッケージを公開し、異なるユーザーやCI/CD環境に異なるコードを提供することができます。この問題はバージョン10.26.0で修正されました。
❓ What is the problem
pnpmのバージョン10.26.2以下でHTTP tarball依存関係が整合性ハッシュなしで保存されている欠陥。
📍 Affected scope
バージョン10.26.2以下のpnpm
🔥 Severity
攻撃者が異なるコードをユーザーやCI/CD環境に提供可能で、高リスクの脆弱性。
🔧 How to fix
バージョン10.26.0にアップデートすることで修正可能。
🛡️ Workaround
影響を受けるバージョンを使用しない。
🔍 Detection
依存関係にHTTP tarballが含まれるか確認する。

References

🍪 About cookies

We use cookies to keep you logged in, remember your language, and improve the service.

Details →