关键信息概述 漏洞标题:Arbitrary file permission modification via directories.bin path traversal CVE编号:CVE-2026-24131 受影响的版本: 已修复的版本: 严重程度:Moderate 漏洞描述 Summary 当pnpm处理包的 字段时,它使用 而未验证结果是否仍在包根目录内。一个恶意的npm包可以通过设置 来跳过包目录,导致pnpm在任意位置对文件执行chmod 755。 Details 漏洞代码位于 。 字段在第53行受 保护,但 缺乏此检查。 PoC 影响 通过npm包的供应链攻击。 文件权限从600更改为755(世界可读)。 影响可预测路径的非点文件(默认情况下tinyglobby排除点文件)。 建议修复 在 中为 路径添加 验证,匹配 中已有的验证。