Katalog CVE

CVE-2026-55180

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 11 — wyżej niż 11% wszystkich znanych CVE

Streszczenie

Podatność w menedżerze pakietów pnpm przed wersjami 10.34.2 i 11.5.3 pozwala na rozwijanie zmiennych środowiskowych ${ENV_VAR} z plików .npmrc i pnpm-workspace.yaml kontrolowanych przez repozytorium. Złośliwe repozytorium może wysłać tajne dane środowiskowe ofiary do wybranego przez atakującego rejestru przed uruchomieniem skryptów cyklu życia.

Ocena ryzyka

Organizacja ryzykuje wyciekiem poufnych zmiennych środowiskowych (np. tokenów, kluczy API) do nieautoryzowanego rejestru, co może prowadzić do naruszenia bezpieczeństwa systemów i danych.

Rekomendacja

Należy natychmiast zaktualizować pnpm do wersji 10.34.2 lub 11.5.3, w zależności od używanej gałęzi, aby wyeliminować podatność.

Oryginalny opis (angielski, źródło NVD)

pnpm is a package manager. Prior to 10.34.2 and 11.5.3, pnpm and pacquet expanded ${ENV_VAR} placeholders from repository-controlled .npmrc and pnpm-workspace.yaml into registry request destinations and registry credentials. A malicious repository could cause dependency resolution to send victim environment secrets to an attacker-selected registry before lifecycle scripts run. This vulnerability is fixed in 10.34.2 and 11.5.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS