pnpm: path traversal em configDependency permite symlink fora do diretório

pnpm aceita nomes de configDependency do lockfile com sequências de path traversal (ex.: '../../PWNED_CFGDEP') e os usa sem sanitização em caminhos de sistema de arquivos, permitindo criação de symlink fora do diretório node_modules/.pnpm-config.

Todos os usuários de pnpm que instalam a partir de repositórios com pnpm-lock.yaml malicioso; o problema é acionado durante pnpm install mesmo com --ignore-scripts.

Atualize o pnpm para uma versão corrigida assim que disponível; enquanto isso, evite instalar projetos de fontes não confiáveis ou inspecione manualmente pnpm-lock.yaml em busca de entradas configDependencies com padrões de path traversal.