js · pnpmCrítico
pnpm: Path traversal em @pnpm/patch-package permite escrita e exclusão arbitrária de arquivos
O pipeline de aplicação de patches do pnpm (@pnpm/patch-package) não valida caminhos de arquivos extraídos de arquivos .
O que mudou
O pipeline de aplicação de patches do pnpm (@pnpm/patch-package) não valida caminhos de arquivos extraídos de arquivos .patch, permitindo escrita e exclusão arbitrária de arquivos via path traversal em cabeçalhos diff --git.
Quem isso afeta
Usuários que executam pnpm install com entradas patchedDependencies em pnpm-workspace.yaml que referenciam arquivos .patch maliciosos.
O que fazer hoje
Revise todos os arquivos .patch no seu repositório em busca de tentativas de path traversal e garanta que nenhum patch não confiável seja aplicado. Considere fixar o pnpm em uma versão com correção quando disponível.
A esteira
Coletado→
Auditado→
Redigido→
Publicado