pnpm
pnpm: hash de dependências git do GitHub não é verificado
pnpm não verifica o hash de dependências obtidas de codeload.
pnpm: integridade do lockfile pode ser ignorada em install não congelado
pnpm install em modo não congelado pode aceitar novo conteúdo remoto de pacote após detectar uma incompatibilidade de integridade
pnpm: Vulnerabilidade no tratamento de dependências git permite execução de código via lockfile malicioso
Uma vulnerabilidade de segurança foi descoberta no tratamento de dependências git do pnpm: o valor `resolution.
pnpm: vazamento de credenciais npm para registro malicioso via .npmrc local
pnpm pode enviar credenciais de autenticação npm sem escopo (ex.
pnpm e pacquet: expansão de variáveis de ambiente em .npmrc e pnpm-workspace.yaml desativada
pnpm e pacquet não expandem mais placeholders de variáveis de ambiente de arquivos .
pnpm: validação insuficiente de chaves do objeto bin permite travessia de diretório
Chaves do objeto bin do manifesto como string vazia, ".
pnpm: Path traversal em alias de dependência transitória permite substituição de symlink
pnpm permite que um alias de dependência transitória, vindo dos metadados do registro, contenha segmentos de path traversal.
pnpm: Path traversal em @pnpm/patch-package permite escrita e exclusão arbitrária de arquivos
O pipeline de aplicação de patches do pnpm (@pnpm/patch-package) não valida caminhos de arquivos extraídos de arquivos .
pnpm: build approval para dependências opacas exige correspondência exata do localizador
A aprovação de build para dependências de fontes opacas (git, URL, tarball, file, directory) agora exige correspondência byte-exat
pnpm: execução arbitrária de binários nativos via configDependencies
A feature configDependencies permitia que um repositório declarasse pacquet ou @pnpm/pacquet como dependência de configuração, e o
pnpm: correção de segurança no gerenciamento automático de versão do package manager
O mecanismo de troca automática de versão do package manager do pnpm agora re-resolve os metadados do env-lockfile fornecidos pelo
pnpm: vulnerabilidade de escape de diretório via alias malicioso no lockfile
Um alias de lockfile manipulado podia ser unido diretamente sob um diretório node_modules hoisted, permitindo que aliases de trave
pnpm patch-remove: validação de diretório para evitar exclusão arbitrária de arquivos
pnpm patch-remove agora valida que as entradas de patch resolvem dentro do diretório de patches configurado antes da exclusão, rej
pnpm: path traversal em configDependency permite symlink fora do diretório
pnpm aceita nomes de configDependency do lockfile com sequências de path traversal (ex.