pnpm은 패키지 관리자입니다. 10.34.2 및 11.5.3 이전에는 pnpm이 pnpm-lock.yaml의 첫 번째 YAML 문서에 패키지 관리자 부트스트랩 메타데이터를 유지할 수 있습니다. 패치 이전에는 커밋된 환경 잠금 파일에 일치하는 pnpm 및 @pnpm/exe 버전이 포함되어 있으면 직접 pnpm 실행이 이미 해결된 packageManagerDependities 항목을 신뢰했습니다. 따라서 악의적인 저장소는 새로운 패키지 관리자 확인을 우회한 패키지 관리자 잠금 파일 패키지 레코드와 스냅샷을 커밋한 다음 pnpm을 유발할 수 있습니다.
pnpm은 패키지 관리자입니다. 10.34.2 및 11.5.3 이전에는 pnpm이 pnpm-lock.yaml의 첫 번째 YAML 문서에 패키지 관리자 부트스트랩 메타데이터를 유지할 수 있습니다. 패치 이전에는 커밋된 환경 잠금 파일에 일치하는 pnpm 및 @pnpm/exe 버전이 포함되어 있으면 직접 pnpm 실행이 이미 해결된 packageManagerDependities 항목을 신뢰했습니다. 따라서 악의적인 저장소는 새로운 패키지 관리자 확인을 우회한 패키지 관리자 잠금 파일 패키지 레코드와 스냅샷을 커밋한 다음 자동 버전 전환 중에 pnpm이 커밋된 잠금 파일 상태에 의해 선택된 바이트를 설치하고 실행하도록 할 수 있습니다. 이 취약점은 10.34.2 및 11.5.3에서 수정되었습니다.
| 소스 | CVSS 버전 | 기본 점수 | 심각도 | 벡터 문자열 | 평가일 |
|---|---|---|---|---|---|
| OSV3rd | 3.1 | 8.8 | HIGH | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | 2026. 06. 27. |
| NVDNIST | 3.1 | 8.8 |
| CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| 2026. 06. 26. |