pnpm: vulnerabilidade de escape de diretório via alias malicioso no lockfile

Um alias de lockfile manipulado podia ser unido diretamente sob um diretório node_modules hoisted, permitindo que aliases de travessia escapassem desse diretório ou que aliases reservados como .bin ou .pnpm sobrescrevessem a estrutura do pnpm. O patch valida a semântica do nome do pacote e a contenção do caminho antes da inserção no grafo ou operações no sistema de arquivos.

Usuários de pnpm e pacquet que instalam dependências a partir de lockfiles que podem conter aliases maliciosos.

Atualize o pnpm para a versão corrigida assim que for lançada, ou aplique o patch privado do fork temporário do advisory.