js · pnpmCrítico
pnpm patch-remove: validação de diretório para evitar exclusão arbitrária de arquivos
pnpm patch-remove agora valida que as entradas de patch resolvem dentro do diretório de patches configurado antes da exclusão, rejeitando caminhos de travessia
O que mudou
pnpm patch-remove agora valida que as entradas de patch resolvem dentro do diretório de patches configurado antes da exclusão, rejeitando caminhos de travessia e absolutos que escapam, canonicalizando diretórios pai e desvinculando symlinks finais sem seguir seus alvos.
Quem isso afeta
Todos os usuários do pnpm que usam `pnpm patch-remove` com entradas de patch manipuladas que poderiam excluir arquivos arbitrários fora do diretório de patches.
O que fazer hoje
Atualize o pnpm para a versão 10.34.4 ou 11.7.0 imediatamente para corrigir a vulnerabilidade de segurança.
A esteira
Coletado→
Auditado→
Redigido→
Publicado