CVE-2025-69263

Pnpm : Une vulnérabilité expose les dépendances aux manipulations

Une faille de sécurité identifiée sous la référence CVE-2025-69263 affecte le gestionnaire de paquets pnpm dans ses versions antérieures à 10.26.0. Le problème réside dans la gestion des dépendances sous forme de tarballs hébergés sur HTTP ou Git. Ces dépendances sont enregistrées dans le fichier de verrouillage (lockfile) sans leur empreinte numérique (hash d’intégrité).

Cette omission permet à un serveur distant de fournir un contenu différent à chaque installation, même si un fichier de verrouillage est présent et validé. Un attaquant peut exploiter cette faille en publiant un paquet contenant une dépendance tarball HTTP. Cela lui permet de distribuer du code différent à divers utilisateurs ou environnements d’intégration et de déploiement continus (CI/CD), contournant ainsi la sécurité normalement assurée par le fichier de verrouillage. La correction a été intégrée dans la version 10.26.0 de pnpm.

Points Clés :

• Vecteur d’attaque : Dépendances tarball hébergées sur HTTP ou Git.
• Mécanisme : Absence d’empreinte d’intégrité pour ces dépendances dans le lockfile.
• Impact : Possibilité pour un attaquant de servir du code différent à chaque installation, compromettant la reproductibilité et la sécurité.
• Affected versions : pnpm versions 10.26.2 et antérieures.
• Fix : pnpm version 10.26.0 et ultérieures.

Vulnérabilité :

• CVE : CVE-2025-69263
• Type : Manipulation de dépendances non sécurisée, contournement de lockfile.

Recommandations :

• Mettre à jour pnpm vers la version 10.26.0 ou une version ultérieure.

Source