pnpm is a package manager. Versions 10.26.2 and below store HTTP tarball dependencies (and git-hosted tarballs) in the lockfile without integrity hashes. This allows the remote server to serve different content on each install, even when a lockfile is committed. An attacker who publishes a package with an HTTP tarball dependency can serve different code to different users or CI/CD environments. The attack requires the victim to install a package that has an HTTP/git tarball in its dependency tree. The victim's lockfile provides no protection. This issue is fixed in version 10.26.0.
pnpm package manager versions 10.26.2 and below fail to store integrity hashes for HTTP tarball dependencies in lockfiles, allowing attackers to serve different malicious code on each installation. This vulnerability enables supply chain attacks where compromised packages can deliver varying payloads to different users or CI/CD environments without detection.
يفشل مدير الحزم pnpm في الإصدارات 10.26.2 وما دونها في تخزين بيانات التحقق من السلامة (integrity hashes) لتبعيات tarball المستضافة على HTTP وGit في ملفات القفل. يسمح هذا للمهاجمين بتقديم محتوى مختلف في كل تثبيت، مما يمكّن هجمات سلسلة التوريد حيث يمكن لحزمة ضارة تقديم أكواد مختلفة لمستخدمين مختلفين أو بيئات CI/CD.
مدير حزم pnpm في الإصدارات 10.26.2 وما دونها لا يخزن بيانات التحقق من السلامة لتبعيات tarball عبر HTTP في ملفات القفل، مما يسمح للمهاجمين بتقديم أكواد ضارة مختلفة في كل تثبيت. يمكن لهذا الثغرة تمكين هجمات سلسلة التوريد حيث يمكن للحزم المخترقة تقديم حمولات مختلفة لمستخدمين مختلفين أو بيئات CI/CD دون اكتشاف.
Upgrade pnpm to version 10.26.0 or later immediately. Review all lockfiles for HTTP tarball dependencies and replace them with HTTPS URLs or npm registry packages. Implement package integrity verification in CI/CD pipelines using tools like npm audit and SBOM validation. Enable lockfile verification and consider using private package registries.
قم بترقية pnpm إلى الإصدار 10.26.0 أو أحدث فوراً. راجع جميع ملفات القفل بحثاً عن تبعيات HTTP tarball واستبدلها بعناوين HTTPS أو حزم سجل npm. طبق التحقق من سلامة الحزم في خطوط أنابيب CI/CD باستخدام أدوات مثل npm audit والتحقق من SBOM. فعّل التحقق من ملف القفل وفكر في استخدام سجلات حزم خاصة.