← 戻る
CVE-2025-69263
high
CVSS 7.5
pnpm is a package manager. Versions 10.26.2 and below store HTTP tarball dependencies (and git-hosted tarballs) in the lockfile without integrity hashes. This allows the remote server to serve differe...
概要
pnpm is a package manager. Versions 10.26.2 and below store HTTP tarball dependencies (and git-hosted tarballs) in the lockfile without integrity hashes. This allows the remote server to serve different content on each install, even when a lockfile is committed. An attacker who publishes a package w...
AI要約 openai / gpt-4o
pnpmは、バージョン10.26.2以下で、HTTP共有のtarball依存関係を整合性ハッシュなしでロックファイルに保存していました。これにより、悪意のあるサーバーが異なるコンテンツを各インストール時に提供する可能性があります。攻撃者はパッケージを公開し、異なるユーザーやCI/CD環境に異なるコードを提供することができます。この問題はバージョン10.26.0で修正されました。
❓ 何が問題か
pnpmのバージョン10.26.2以下でHTTP tarball依存関係が整合性ハッシュなしで保存されている欠陥。
📍 影響範囲
バージョン10.26.2以下のpnpm
🔥 重要度
攻撃者が異なるコードをユーザーやCI/CD環境に提供可能で、高リスクの脆弱性。
🔧 修正方法
バージョン10.26.0にアップデートすることで修正可能。
🛡️ 暫定回避
影響を受けるバージョンを使用しない。
🔍 検知方法
依存関係にHTTP tarballが含まれるか確認する。