pnpm is a package manager. Versions 6.25.0 through 10.26.2 have a Command Injection vulnerability when using environment variable substitution in .npmrc configuration files with tokenHelper settings. An attacker who can control environment variables during pnpm operations could achieve Remote Code Execution (RCE) in build environments. This issue is fixed in version 10.27.0.
pnpm package manager versions 6.25.0 through 10.26.2 contain a command injection vulnerability (CVE-2025-69262) in .npmrc configuration files when using tokenHelper settings with environment variable substitution. Attackers controlling environment variables during pnpm operations can achieve Remote Code Execution in build environments, posing significant risks to CI/CD pipelines and development infrastructure.
تسمح هذه الثغرة الأمنية للمهاجمين باستغلال آلية استبدال متغيرات البيئة في ملفات تكوين .npmrc المستخدمة مع إعدادات tokenHelper في مدير الحزم pnpm. عند التحكم في متغيرات البيئة خلال عمليات pnpm، يمكن للمهاجم حقن أوامر نظام تعسفية وتنفيذها عن بُعد في بيئات البناء والتطوير. تؤثر الثغرة على نطاق واسع من الإصدارات وتستهدف بشكل خاص بيئات التكامل المستمر والنشر المستمر (CI/CD) المستخدمة في تطوير البرمجيات الحديثة. يتوفر استغلال عملي للثغرة مما يزيد من خطورتها وإلحاحية معالجتها فوراً.
تحتوي إصدارات مدير الحزم pnpm من 6.25.0 إلى 10.26.2 على ثغرة حقن أوامر (CVE-2025-69262) في ملفات تكوين .npmrc عند استخدام إعدادات tokenHelper مع استبدال متغيرات البيئة. يمكن للمهاجمين الذين يتحكمون في متغيرات البيئة أثناء عمليات pnpm تنفيذ أكواد عن بُعد في بيئات البناء، مما يشكل مخاطر كبيرة على خطوط CI/CD والبنية التحتية التطويرية.
1. Immediately upgrade pnpm to version 10.27.0 or later across all development, build, and CI/CD environments to eliminate the command injection vulnerability.
2. Audit all .npmrc configuration files for tokenHelper settings using environment variable substitution and implement strict input validation and sanitization for environment variables in build pipelines.
3. Implement least privilege access controls for CI/CD systems, restrict environment variable modification capabilities, enable comprehensive logging of pnpm operations, and conduct security reviews of all build scripts and automation workflows.
1. الترقية الفورية لـ pnpm إلى الإصدار 10.27.0 أو أحدث عبر جميع بيئات التطوير والبناء وCI/CD للقضاء على ثغرة حقن الأوامر.
2. مراجعة جميع ملفات تكوين .npmrc للبحث عن إعدادات tokenHelper التي تستخدم استبدال متغيرات البيئة وتطبيق التحقق الصارم من المدخلات وتنقية متغيرات البيئة في خطوط البناء.
3. تطبيق ضوابط الوصول بأقل الصلاحيات لأنظمة CI/CD، وتقييد قدرات تعديل متغيرات البيئة، وتفعيل التسجيل الشامل لعمليات pnpm، وإجراء مراجعات أمنية لجميع نصوص البناء وسير عمل الأتمتة.