pnpm: Path traversal em alias de dependência transitória permite substituição de symlink

pnpm permite que um alias de dependência transitória, vindo dos metadados do registro, contenha segmentos de path traversal. Durante a instalação, esse alias é usado como caminho no sistema de arquivos ao vincular nós de dependência, possibilitando a substituição de symlinks de caminhos do projeto (ex.: .git/hooks) por diretórios controlados pelo atacante.

Todos os usuários de pnpm que executam `pnpm install --ignore-scripts` e instalam pacotes com dependências transitórias que possuem aliases maliciosos.

Atualize o pnpm para uma versão corrigida assim que disponível. Enquanto isso, evite instalar pacotes não confiáveis ou use um lockfile e verifique os aliases das dependências.