CVE-2025-69263
Mis à jour :
Vulnérabilité dans pnpm : Risque de Manipulation de Code
Une faille de sécurité a été identifiée dans le gestionnaire de paquets pnpm, impactant les versions 10.26.2 et antérieures. Le problème réside dans la gestion des dépendances sous forme de “tarballs” hébergées sur HTTP ou via Git. Ces dépendances étaient enregistrées dans le fichier de verrouillage (lockfile) sans leur empreinte numérique (hash d’intégrité).
Cette absence d’empreinte permet à un serveur malveillant de fournir un contenu différent à chaque installation, même si un fichier de verrouillage est présent et engagé. Un attaquant pourrait ainsi publier un paquet contenant une dépendance HTTP et servir du code différent à divers utilisateurs ou environnements d’intégration continue/déploiement continu (CI/CD), contournant ainsi la sécurité normalement assurée par le fichier de verrouillage.
Points clés :
- Gestion des dépendances vulnérables : Utilisation de tarballs HTTP et Git sans hash d’intégrité dans le lockfile.
- Contournement du lockfile : Possibilité pour un serveur de livrer du contenu variable.
- Impact : Injection de code arbitraire lors des installations.
Vulnérabilité :
- CVE : CVE-2025-69263
Recommandations :
- Mettre à jour pnpm : La faille est corrigée dans la version 10.26.0 et les versions ultérieures.