js · pnpmAtenção

pnpm: validação insuficiente de chaves do objeto bin permite travessia de diretório

Chaves do objeto bin do manifesto como string vazia, ".

27 Jun 2026Leitura 1 minSeveridade: agende este mês

O que mudou

Chaves do objeto bin do manifesto como string vazia, "." e ".." não eram rejeitadas pela guarda de nome bin do pnpm, permitindo que operações globais de pacotes deletassem fora do diretório global bin via travessia de caminho.

Quem isso afeta

Usuários do pnpm que instalam pacotes maliciosos globalmente; a vulnerabilidade afeta os fluxos de remoção, atualização e substituição globais.

O que fazer hoje

Revise o branch de patch compartilhado e aplique a correção para rejeitar nomes bin reservados; monitore o lançamento da versão corrigida.

A esteira

Coletado→ Auditado→ Redigido→ Publicado

Fonte

GitHub Advisory · pnpm

pnpm: validação insuficiente de chaves do objeto bin permite travessia de diretório

O que mudou

Quem isso afeta

O que fazer hoje

Mais sobre pnpm

ESLint 10.6.0: nova versão patch

@sigstore/core: preAuthEncoding usa 'ascii' que permite mutação do payloadType após assinatura