الثغرات ›

CVE-2025-69262

مرتفع ⚡ اختراق متاح

ثغرة حقن أوامر حرجة في مدير الحزم pnpm عبر استبدال متغيرات البيئة

CWE-78 — نوع الضعف

                    نُشر: Jan 7, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

7.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

pnpm is a package manager. Versions 6.25.0 through 10.26.2 have a Command Injection vulnerability when using environment variable substitution in .npmrc configuration files with tokenHelper settings. An attacker who can control environment variables during pnpm operations could achieve Remote Code Execution (RCE) in build environments. This issue is fixed in version 10.27.0.

🤖 ملخص AI

pnpm package manager versions 6.25.0 through 10.26.2 contain a command injection vulnerability (CVE-2025-69262) in .npmrc configuration files when using tokenHelper settings with environment variable substitution. Attackers controlling environment variables during pnpm operations can achieve Remote Code Execution in build environments, posing significant risks to CI/CD pipelines and development infrastructure.

📄 الوصف (العربية)

تسمح هذه الثغرة الأمنية للمهاجمين باستغلال آلية استبدال متغيرات البيئة في ملفات تكوين .npmrc المستخدمة مع إعدادات tokenHelper في مدير الحزم pnpm. عند التحكم في متغيرات البيئة خلال عمليات pnpm، يمكن للمهاجم حقن أوامر نظام تعسفية وتنفيذها عن بُعد في بيئات البناء والتطوير. تؤثر الثغرة على نطاق واسع من الإصدارات وتستهدف بشكل خاص بيئات التكامل المستمر والنشر المستمر (CI/CD) المستخدمة في تطوير البرمجيات الحديثة. يتوفر استغلال عملي للثغرة مما يزيد من خطورتها وإلحاحية معالجتها فوراً.

🤖 ملخص تنفيذي (AI)

تحتوي إصدارات مدير الحزم pnpm من 6.25.0 إلى 10.26.2 على ثغرة حقن أوامر (CVE-2025-69262) في ملفات تكوين .npmrc عند استخدام إعدادات tokenHelper مع استبدال متغيرات البيئة. يمكن للمهاجمين الذين يتحكمون في متغيرات البيئة أثناء عمليات pnpm تنفيذ أكواد عن بُعد في بيئات البناء، مما يشكل مخاطر كبيرة على خطوط CI/CD والبنية التحتية التطويرية.

🤖 التحليل الذكي آخر تحليل: Feb 28, 2026 07:55

🇸🇦 التأثير على المملكة العربية السعودية

Saudi organizations using pnpm in development pipelines, particularly in fintech, government digital services, and technology sectors, face critical risks of supply chain compromise and unauthorized access to build systems. Attackers could inject malicious code into software builds, compromise CI/CD credentials, or pivot to production environments, directly threatening compliance with NCA ECC and SAMA CSF requirements for secure software development lifecycle.

🏢 القطاعات السعودية المتأثرة

الخدمات المالية والمصرفية التقنية المالية الخدمات الحكومية الرقمية تطوير البرمجيات الاتصالات وتقنية المعلومات التجارة الإلكترونية الرعاية الصحية الرقمية

🎯 تقنيات MITRE ATT&CK

T1059.004 T1195.001 T1574.006 T1078.004 T1505.003

⚖️ درجة المخاطر السعودية (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

1. Immediately upgrade pnpm to version 10.27.0 or later across all development, build, and CI/CD environments to eliminate the command injection vulnerability.

2. Audit all .npmrc configuration files for tokenHelper settings using environment variable substitution and implement strict input validation and sanitization for environment variables in build pipelines.

3. Implement least privilege access controls for CI/CD systems, restrict environment variable modification capabilities, enable comprehensive logging of pnpm operations, and conduct security reviews of all build scripts and automation workflows.

🔧 خطوات المعالجة (العربية)

1. الترقية الفورية لـ pnpm إلى الإصدار 10.27.0 أو أحدث عبر جميع بيئات التطوير والبناء وCI/CD للقضاء على ثغرة حقن الأوامر.

2. مراجعة جميع ملفات تكوين .npmrc للبحث عن إعدادات tokenHelper التي تستخدم استبدال متغيرات البيئة وتطبيق التحقق الصارم من المدخلات وتنقية متغيرات البيئة في خطوط البناء.

3. تطبيق ضوابط الوصول بأقل الصلاحيات لأنظمة CI/CD، وتقييد قدرات تعديل متغيرات البيئة، وتفعيل التسجيل الشامل لعمليات pnpm، وإجراء مراجعات أمنية لجميع نصوص البناء وسير عمل الأتمتة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC-1-2 (Vulnerability Management) ECC-3-1 (Secure Development) ECC-4-1 (Change Management) ECC-5-1 (Supply Chain Security)

🔵 SAMA CSF

SAMA-CR-1.2 (Asset Management) SAMA-CR-2.3 (Secure Development Lifecycle) SAMA-CR-3.1 (Vulnerability Management) SAMA-CR-4.2 (Third-Party Risk Management)

🟡 ISO 27001:2022

A.8.31 (Separation of Development, Testing and Operational Environments) A.8.32 (Change Management) A.12.6.1 (Management of Technical Vulnerabilities) A.14.2.1 (Secure Development Policy)

🔗 المراجع والمصادر 3

🔗

https://github.com/pnpm/pnpm/releases/tag/v10.27.0

security-advisories@github.com

Product Release Notes

🔗

https://github.com/pnpm/pnpm/security/advisories/GHSA-2phv-j68v-wwqx

security-advisories@github.com

Exploit Vendor Advisory

🔗

https://github.com/pnpm/pnpm/security/advisories/GHSA-2phv-j68v-wwqx

134c704f-9b21-4f2e-91b3-4a467353bcc0

Exploit Vendor Advisory

📦 المنتجات المتأثرة 1 منتج

pnpm:pnpm

📊 CVSS Score

7.5

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

Attack VectorL — Low / Local

Attack ComplexityH — High

Privileges RequiredH — High

User InteractionN — None / Network

ScopeC — Changed

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.5

CWECWE-78

EPSS0.09%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

تاريخ النشر 2026-01-07

المصدر nvd

المشاهدات 4

🇸🇦 درجة المخاطر السعودية

9.0

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

exploit-available CWE-78

🏢 توجيهات البائع

🔗 https://github.com/pnpm/pnpm/security/advisories/GHS... 🔗 https://github.com/pnpm/pnpm/security/advisories/GHS...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2025-69262

عرّفنا بنفسك

تسجيل الدخول مطلوب