Уязвимость функций fs.statSync() и fs.readFileSync() сценария store/cafs/src/addFilesFromDir.ts менеджера пакетов pnpm связана с неверным определением ссылки перед доступом к файлу. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации
Использование рекомендаций:
https://github.com/pnpm/pnpm/commit/b277b45bc35ae77ca72d7634d144bbd58a48b70f
https://github.com/pnpm/pnpm/releases/tag/v10.28.2
Компенсирующие меры:
Используйте lstatSync для обнаружения символических ссылок и отклонения тех, которые указывают за пределы корневого каталога.
| Балл | 4.9 — средняя опасность |