目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1336 CNY

100%
コーヒーを一杯おごる

CVE-2026-50573— pnpm 不安全默认行为导致完整性检查被破坏

CVSS 6.8 · Medium EPSS 0.11% · P1
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-50573の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
pnpm: Unsafe default behavior breaks integrity check
ソース: NVD (National Vulnerability Database)
脆弱性説明
pnpm is a package manager. Prior to 10.34.0 and 11.4.0, `pnpm install` in non-frozen mode can accept new remote package content after detecting that the downloaded tarball does not match the integrity recorded in pnpm-lock.yaml. When a package is already locked with an integrity value, and the registry later serves different metadata and tarball content for the same package name and version, pnpm initially reports an integrity mismatch. However, plain pnpm install then performs a resolution repair, accepts the registry's new integrity, updates the lockfile, installs the new content, and exits successfully. This means the lockfile integrity check does not act as a hard stop by default. This vulnerability is fixed in 10.34.0 and 11.4.0.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
对数据真实性的验证不充分
ソース: NVD (National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
pnpmpnpm < 10.33.4 -

II. CVE-2026-50573の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-50573のインテリジェンス情報

登录查看更多情报信息。

CVE-2026-50573 其他参考 (1)

Same Patch Batch · pnpm · 2026-06-25 · 13 CVEs total

CVE-2026-500168.8 HIGHpnpm: Transitive dependency alias path traversal allows project path override via symlink
CVE-2026-556988.8 HIGHpnpm: Project env lockfile can short-circuit package-manager resolution and execute lockfi
CVE-2026-554877.5 HIGHpnpm: manifest identity spoof satisfies allowBuilds and runs attacker lifecycle
CVE-2026-556977.5 HIGHpnpm: Repository-controlled configDependencies can select a pacquet native install engine
CVE-2026-500157.3 HIGHpnpm: Arbitrary File Write/Delete via Malicious Patch File (Path Traversal)
CVE-2026-557007.1 HIGHpnpm: stage download writes outside destination via manifest version traversal
CVE-2026-500216.8 MEDIUMpnpm: Integrity Check Bypass via Missing Lockfile Integrity Field
CVE-2026-551806.5 MEDIUMpnpm: Repository config can expand victim environment secrets into registry requests befor
CVE-2026-556996.5 MEDIUMpnpm: reserved bin name deletes PNPM_HOME during global remove
CVE-2026-500146.4 MEDIUMpnpm: Git Fetch Argument Injection via Lockfile resolution.commit
CVE-2026-48995pnpm: Tarball hash of GitHub git dependencies is not stored in lockfile
CVE-2026-50017pnpm binds unscoped user-level npm auth credentials to a repository-selected registry

IV. 関連脆弱性

同じ製品: pnpm
同じベンダー: pnpm
同じ弱点: CWE-345

V. CVE-2026-50573へのコメント

まだコメントはありません

コメントを残す