pnpm is a package manager. Versions 6.25.0 through 10.26.2 have a Command Injection vulnerability when using environment variable substitution in .npmrc configuration files with tokenHelper settings. An attacker who can control environment variables during pnpm operations could achieve Remote Code Execution (RCE) in build environments. This issue is fixed in version 10.27.0.
pnpm versions 6.25.0-10.26.2 contain a command injection vulnerability in .npmrc environment variable substitution with tokenHelper settings, allowing RCE in build environments. The vulnerability is fixed in version 10.27.0 and requires attacker control of environment variables during pnpm operations.
ثغرة حقن الأوامر في pnpm تؤثر على الإصدارات 6.25.0 حتى 10.26.2 وتسمح بتنفيذ كود بعيد عند التحكم في متغيرات البيئة أثناء عمليات pnpm. تحدث الثغرة في معالجة استبدال متغيرات البيئة في ملفات .npmrc خاصة مع إعدادات tokenHelper. يتطلب الاستغلال وصول المهاجم إلى التحكم في متغيرات البيئة في بيئة البناء.
إصدارات pnpm من 6.25.0 إلى 10.26.2 تحتوي على ثغرة حقن أوامر في استبدال متغيرات البيئة في ملفات .npmrc مع إعدادات tokenHelper، مما يسمح بتنفيذ كود بعيد في بيئات البناء. يتم إصلاح الثغرة في الإصدار 10.27.0.
Immediately upgrade pnpm to version 10.27.0 or later. Review and restrict environment variables accessible during build processes. Implement strict input validation for .npmrc files and use configuration management tools to prevent unauthorized environment variable injection. Audit build pipelines for potential exposure.
قم بترقية pnpm فوراً إلى الإصدار 10.27.0 أو أحدث. راجع وقيد متغيرات البيئة المتاحة أثناء عمليات البناء. طبق التحقق الصارم من صحة ملفات .npmrc واستخدم أدوات إدارة التكوين لمنع حقن متغيرات البيئة غير المصرح به. قم بتدقيق خطوط أنابيب البناء للكشف عن التعرض المحتمل.