Node.js向けパッケージマネージャーのpnpmに、3件の脆弱性(CVE)が公表されました。いずれもパストラバーサル(想定外の場所へ到達できる問題)系で、修正版もそろって提供されています。
pnpmの複数脆弱性 3行まとめ
今回公表された内容の要点を、先に3点へまとめました。
- pnpmに3件の脆弱性が同時公表
- いずれもパストラバーサル系(CWE-22)
- 修正版10.34.4・11.7.0・11.8.0が提供済み
本記事の確認・更新手順は一般的な例です。実際の対応は、利用している構成や依存関係、権限設定、運用ルールによって異なります。
作業の前に必ずバックアップを取得し、検証環境で影響を確認したうえで、各自の責任で実施してください。
影響を受けるpnpmのバージョンと修正版
影響を受けるバージョンと、対応する修正版は次のとおりです。系統ごとに更新先が分かれる点に注意してください。
| 項目 | 内容 |
|---|---|
| 対象パッケージ | npm:pnpm(Node.js用パッケージマネージャー) |
| 影響バージョン | 10.34系/11.0系(詳細は各アドバイザリを参照) |
| 修正版 |
10.34.4・11.7.0・11.8.0
|
| 脆弱性の種類 | パストラバーサル(CWE-22) |
10系の利用者は10.34.4、11系の利用者は11.8.0が更新先の目安です。11系は11.7.0で解消しないCVEが残るため、3件をまとめて解消するなら11.8.0以上を選んでください。
pnpmで公表された脆弱性一覧(CVE 3件)
今回まとめて公表された3件のCVEを一覧にしました。深刻度は評価主体により差が出る場合があります。
| CVE番号 | 深刻度(CVSS) | 種類 | 概要 |
|---|---|---|---|
CVE-2026-59194 |
7.1 High(JVNDB・ベンダ一致) | CWE-22 | パス制限の不備 |
CVE-2026-59195 |
8.2 High(JVNDB・ベンダ一致) | CWE-22 | パストラバーサル |
CVE-2026-59196 |
7.1 High(JVNDB・ベンダ一致) | CWE-22 | パス制限の不備 |
pnpmで問題となるパストラバーサル(CWE-22)とは
パストラバーサルは、ファイルパスの検証が不十分なために、本来アクセスを許すべきでない場所へ到達できてしまう問題です。CWE-22として分類される代表的な弱点にあたります。
3件のCVEはいずれもこのCWE-22に該当します。深刻度はCVE-2026-59195が8.2と最も高く、残る2件は7.1と評価されました。
悪用には細工されたパッケージやリポジトリを取り込む前提があります。pnpmをインストールしているだけで直ちに危険が生じるわけではありません。
pnpmを修正版へ更新する対応手順
対象バージョンを利用している場合の対応を、優先度の高い順にまとめました。まず現状のバージョンを把握するところから始めます。
- 利用中のpnpmが影響範囲に含まれるかを確認(
pnpm -vでバージョンを表示し、上記の影響バージョンの表と照合) - 該当する系統に合う修正版を選定
- 公式アドバイザリに従い修正版へ更新
- 更新できない場合は公式が示す回避策を適用
下記は現在のバージョンを確認し、修正版へ更新する例です。系統に合わせて更新先のバージョンを選んでください。
先頭のpnpm -vは利用中のバージョンを表示するだけで、変更は加えません。
続くnpm install -g pnpm@10.34.4やnpm install -g pnpm@11.8.0はpnpmを更新します。実行前に必ずバックアップを取得してください。
# 現在のpnpmバージョンを確認する
pnpm -v
# 10系を維持する場合は10.34.4へ更新する
npm install -g pnpm@10.34.4
# 11系を利用する場合は11.8.0へ更新する(3件すべてを解消)
npm install -g pnpm@11.8.0
表示されたバージョンが影響範囲なら、対応する修正版へ更新しましょう。系統ごとに最新の修正版を選べば、3件をまとめて解消できます。
trends編集部の一言
同一製品で複数のCVEが同時に公表される場合、多くは1つの修正版へまとめて対応できます。今回のpnpmも系統に合う修正版へ上げれば、3件を一括で解消できました。
パッケージマネージャーはCI環境や開発環境へ広く導入されます。まずはグローバルにインストールしたpnpmのバージョンから点検し、影響範囲かどうかを切り分けてください。
References
- ^ JVNDB. 「pnpmにおける複数の脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022783.html, (参照 26-07-10).
- ^ JVNDB. 「pnpmにおけるパストラバーサルの脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022782.html, (参照 26-07-10).
- ^ JVNDB. 「pnpmにおける複数の脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022781.html, (参照 26-07-10).
- ^ ベンダ公式. 「pnpm セキュリティ情報」. https://github.com/pnpm/pnpm/security/advisories/GHSA-72r4-9c5j-mj57, (参照 26-07-10).
- ^ ベンダ公式. 「pnpm セキュリティ情報」. https://github.com/pnpm/pnpm/security/advisories/GHSA-qrv3-253h-g69c, (参照 26-07-10).
- ^ ベンダ公式. 「pnpm セキュリティ情報」. https://github.com/pnpm/pnpm/security/advisories/GHSA-fr4h-3cph-29xv, (参照 26-07-10).
※本記事は一次情報(JVNDB・ベンダ公式・NVD)を基に編集しています。内容はAIで確認していますが、誤りや最新情報との差異がある場合はコメントよりご報告ください。
※上記コンテンツの内容やソースコードはAIで確認・デバッグしておりますが、間違いやエラー、脆弱性などがある場合は、コメントよりご報告いただけますと幸いです。
ITやプログラミングに関するコラム
【Git】remote設定を変更する方法
【VBA】コメントアウトを設定する方法
マークダウンで改行する方法
【CSS】notで複数の件を除外する方法
x86とx64の違いを分かりやすく解説
GitLabとGitHubの違いを解説
パソコンのメモリの目安を用途別に選ぶ方法
Linuxで環境変数を確認する方法
CapsLockキーを解除する方法
UbuntuのIPアドレスを確認する方法
ITやプログラミングに関するニュース
Apache Camelに深刻度Criticalを含む17件の脆弱性が公表、修正版への更新で対応が必要に
Hugoに5件の脆弱性が公表、修正版0.163.3への更新でまとめて対応可能に
Python Pillowに5件の脆弱性が公表、修正版12.3.0への更新で対応可能に
radare2に4件の脆弱性が公表、修正版6.1.8への更新でまとめて対応可能に
vLLMに4件の脆弱性が公表、修正版0.24.0への更新で対応が可能に
Crawl4AIに3件の脆弱性が公表、修正版0.9.0への更新でまとめて対応が可能に
Apache IoTDBに3件の脆弱性が公表、修正版2.0.8への更新で対応が必要に
pnpmにパストラバーサル脆弱性3件が公表、修正版への更新で対応が必要に
traefikに3件の脆弱性が公表、修正版への更新で対応が必要に
GitHub Copilotがリポジトリ概要機能を一般提供、初めて開くリポジトリの目的や使用技術を即把握
