CVE-2026-50017— pnpm 范围外用户级npm认证凭证绑定到仓库选定注册表漏洞

AI 预测 6.5 利用难度: 较易 EPSS 0.31% · P23 更新于 2026-06-27

可能的 ATT&CK 技术 1AI

T1530 · Data from Cloud Storage

获取后续新漏洞提醒登录后订阅

一、漏洞 CVE-2026-50017 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞信息

对漏洞内容有疑问？看看神龙的深度分析是否有帮助！

查看神龙十问 ↗

尽管我们使用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性，但请您根据实际情况进行核实和判断。

Vulnerability Title

pnpm binds unscoped user-level npm auth credentials to a repository-selected registry

来源: 美国国家漏洞数据库 NVD

Vulnerability Description

pnpm is a package manager. Prior to 10.34.0 and 11.4.0, pnpm can send user-level unscoped npm authentication credentials to a registry chosen by a repository-local .npmrc file. In the reproduced case, the user's npm config contains a default registry and an unscoped _authToken. The repository does not provide a token-bearing auth line. It only sets registry= to a different registry URL. During normal pnpm metadata/install workflows, pnpm binds the user-origin unscoped credential to the repository-selected registry and sends it as an Authorization header. This vulnerability is fixed in 10.34.0 and 11.4.0.

来源: 美国国家漏洞数据库 NVD

CVSS Information

N/A

来源: 美国国家漏洞数据库 NVD

Vulnerability Type

信息暴露

来源: 美国国家漏洞数据库 NVD

受影响产品

厂商	产品	影响版本	CPE	订阅
pnpm	pnpm	< 10.33.4	-

二、漏洞 CVE-2026-50017 的公开POC

#	POC 描述	源链接	神龙链接

AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2026-50017 的情报信息

请登录查看更多情报信息。

CVE-2026-50017 其他参考 (1)

🔗 pnpm binds unscoped user-level npm auth credentials to a repository-selected registry · Advisory · pnpm/pnpm · GitHub 查看完整文章 x_refsource_CONFIRM

https://nvd.nist.gov/vuln/detail/CVE-2026-50017

同批安全公告 · pnpm · 2026-06-25 · 共 13 条

CVE-2026-50016	8.8 HIGH	pnpm 传递依赖别名路径遍历漏洞
CVE-2026-55698	8.8 HIGH	pnpm 项目环境锁文件可短接包管理器解析并执行恶意代码
CVE-2026-55487	7.5 HIGH	pnpm 包身份伪装触发恶意构建
CVE-2026-55697	7.5 HIGH	pnpm 仓库控制 configDependencies 可选择原生安装引擎漏洞
CVE-2026-50015	7.3 HIGH	pnpm 通过恶意补丁文件实现任意文件写入/删除漏洞
CVE-2026-55700	7.1 HIGH	pnpm 版本遍历导致下载文件写入目标外漏洞
CVE-2026-50021	6.8 MEDIUM	pnpm 因缺少锁文件完整性字段导致完整性检查绕过
CVE-2026-50573	6.8 MEDIUM	pnpm 不安全默认行为导致完整性检查被破坏
CVE-2026-55180	6.5 MEDIUM	pnpm 仓库配置在脚本运行前泄露环境变量
CVE-2026-55699	6.5 MEDIUM	pnpm 全局移除时保留 bin 名导致 PNPM_HOME 删除
CVE-2026-50014	6.4 MEDIUM	pnpm 锁文件解析导致 Git 参数注入漏洞
CVE-2026-48995		pnpm GitHub Git依赖的Tarball哈希未保存在锁文件中

IV. Related Vulnerabilities

Same product: pnpm

Same vendor: pnpm

Same weakness: CWE-200

V. Comments for CVE-2026-50017

暂无评论

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2026-50017— pnpm 范围外用户级npm认证凭证绑定到仓库选定注册表漏洞

可能的 ATT&CK 技术 1AI

一、漏洞 CVE-2026-50017 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2026-50017 的公开POC

三、漏洞 CVE-2026-50017 的情报信息

CVE-2026-50017 其他参考 (1)

同批安全公告 · pnpm · 2026-06-25 · 共 13 条

IV. Related Vulnerabilities

V. Comments for CVE-2026-50017

发表评论

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2026-50017— pnpm 范围外用户级npm认证凭证绑定到仓库选定注册表漏洞

可能的 ATT&CK 技术 1AI

一、 漏洞 CVE-2026-50017 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2026-50017 的公开POC

三、漏洞 CVE-2026-50017 的情报信息

CVE-2026-50017 其他参考 (1)

同批安全公告 · pnpm · 2026-06-25 · 共 13 条

IV. Related Vulnerabilities

V. Comments for CVE-2026-50017

发表评论

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

一、漏洞 CVE-2026-50017 基础信息