pnpm: execução arbitrária de binários nativos via configDependencies

A feature configDependencies permitia que um repositório declarasse pacquet ou @pnpm/pacquet como dependência de configuração, e o pnpm resolvia e executava como engine de instalação nativa via spawn(), sem exigir confiança explícita externa. O patch adiciona uma lista de permissões (configDependencyInstallEngineAllowlist) que deve ser definida a partir de configuração controlada pelo usuário (global, CLI ou ambiente); valores fornecidos pelo workspace são descartados.

Todos os usuários de pnpm anteriores a 10.34.2 e 11.5.3 que executam comandos de gerenciamento de dependências (ex.: pnpm install) em repositórios que declaram configDependencies contendo pacquet ou @pnpm/pacquet. Um repositório malicioso pode executar binários nativos arbitrários com os privilégios da vítima.

Atualize o pnpm para a versão 10.34.2 ou 11.5.3 imediatamente. Se não puder atualizar, evite executar comandos pnpm em repositórios não confiáveis que usam configDependencies.