ГлавнаяБаза уязвимостей БДУ → BDU:2026-01029
4.9средняя

BDU:2026-01029

Уязвимость функций fs.statSync() и fs.readFileSync() сценария store/cafs/src/addFilesFromDir.ts менеджера пакетов pnpm, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2026-01-30
Описание

Уязвимость функций fs.statSync() и fs.readFileSync() сценария store/cafs/src/addFilesFromDir.ts менеджера пакетов pnpm связана с неверным определением ссылки перед доступом к файлу. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
pnpm (до 10.28.2)
Способ устранения

Использование рекомендаций:
https://github.com/pnpm/pnpm/commit/b277b45bc35ae77ca72d7634d144bbd58a48b70f
https://github.com/pnpm/pnpm/releases/tag/v10.28.2

Компенсирующие меры:
Используйте lstatSync для обнаружения символических ссылок и отклонения тех, которые указывают за пределы корневого каталога.

Оценка CVSS
Балл4.9 — средняя опасность
Источники и патчи
https://github.com/pnpm/pnpm/commit/b277b45bc35ae77ca72d7634d144bbd58a48b70fhttps://github.com/pnpm/pnpm/releases/tag/v10.28.2https://github.com/pnpm/pnpm/security/advisories/GHSA-m733-5w8f-5ggw
Проверьте безопасность своего сайта и почты → Полная проверка домена