pnpm < 10.34.2 / 11.x < 11.5.3 複数の脆弱性

high Nessus プラグイン ID 325222

概要

リモートホストにインストールされている pnpm パッケージが複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている pnpm のバージョンは 10.34.2 より前、または 11.5.3 より前の 11.x です。そのため、以下の複数の脆弱性の影響を受けます。

- pnpm および pacquet は、リポジトリが制御する .npmrc および pnpm-workspace.yaml 内の ${ENV_VAR} プレースホルダーを、レジストリリクエストの宛先およびレジストリ認証情報に展開しました。悪意のあるリポジトリにより、依存関係の解決時に被害者環境のシークレットが攻撃者の選択したレジストリへ送信される可能性があります。これはライフサイクルスクリプトの実行前に発生します。(CVE-2026-55180)

- 汎用のピアサフィックス正規化処理は、git、URL、tarball、ファイル、その他の不透明なロケーターから括弧内のテキストも削除しました。そのため、1 つのソース文字列の承認により、ロケーターが同じ値に正規化された、攻撃者が制御する別のソースも承認される可能性があります。(CVE-2026-55487)

- pnpm は、コマンドディスパッチ前に pnpm-workspace.yaml で宣言された configDependencies をインストールできます。リポジトリは pacquet または @pnpm/pacquet を config dependency として宣言でき、pnpm はそのリポジトリが制御する依存関係を install-engine のオプトインとして扱うことで、任意のバイナリの実行を可能にします。
(CVE-2026-55697)

- pnpm は、package-manager ブートストラップメタデータを pnpm-lock.yaml に永続化できます。悪意のあるリポジトリは、新しいパッケージマネージャーによる解決処理を回避するパッケージマネージャーロックファイルのパッケージレコードとスナップショットをコミットし、そのコミットされたロックファイルの状態によって選択されたバイトを pnpm にインストールおよび実行させる可能性があります。
(CVE-2026-55698)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

pnpm バージョン 10.34.2、11.5.3 以降にアップグレードしてください。

参考資料

https://github.com/pnpm/pnpm/security/advisories/GHSA-3qhv-2rgh-x77r

https://github.com/pnpm/pnpm/security/advisories/GHSA-5wx6-mg75-v57r

https://github.com/pnpm/pnpm/security/advisories/GHSA-gj8w-mvpf-x27x

https://github.com/pnpm/pnpm/security/advisories/GHSA-w466-c33r-3gjp

プラグインの詳細

深刻度: High

ID: 325222

ファイル名: pnpm_mult_vuln_10_34_2.nasl

バージョン: 1.2

タイプ: Local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2026/7/6

更新日: 2026/7/7

設定: 徹底したチェックを有効にする (optional)

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.9

パーセンタイル: 58.03

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2026-55697

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:pnpm:pnpm

必要な KB アイテム: Host/nodejs/modules/enumerated

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/6/25

脆弱性公開日: 2026/6/25

参照情報

CVE: CVE-2026-55180, CVE-2026-55487, CVE-2026-55697, CVE-2026-55698

IAVA: 2026-A-0637