pnpm: Vulnerabilidade no tratamento de dependências git permite execução de código via lockfile malicioso

Uma vulnerabilidade de segurança foi descoberta no tratamento de dependências git do pnpm: o valor `resolution.commit` controlado pelo lockfile é passado para `git fetch` e `git checkout` sem um separador `--` ou validação de formato de commit, permitindo que um lockfile malicioso injete opções Git como `--upload-pack=<command>` levando à execução de código em condições específicas de transporte (SSH ou git local).

Usuários do pnpm que instalam dependências git via SSH ou transporte git local; transporte HTTPS é imune.

Revise seu pnpm-lock.yaml em busca de dependências git usando SSH ou transportes locais e garanta que sejam de fontes confiáveis. Aplique a correção sugerida adicionando um separador `--` e validando `resolution.commit` com `/^[0-9a-f]{40}$/i`.