Katalog CVE

CVE-2026-45772

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Turborepo, system budowania dla kodów JavaScript i TypeScript, jest podatny na wykonanie dowolnego kodu w wersjach od 1.1.0 do przed 2.9.14, gdy jest uruchamiany w niezaufanych repozytoriach z złośliwą konfiguracją Yarn. Wykrywanie menedżera pakietów wykonuje polecenie yarn --version, co może prowadzić do załadowania i wykonania kodu z .yarnrc.yml kontrolowanego przez atakującego.

Ocena ryzyka

Organizacje mogą być narażone na wykonanie złośliwego kodu, co może prowadzić do utraty danych, naruszenia bezpieczeństwa lub przejęcia kontroli nad systemem. Atakujący mogą wykorzystać tę podatność, aby zainfekować środowiska CI lub lokalne maszyny deweloperów.

Rekomendacja

Zaleca się aktualizację Turborepo do wersji 2.9.14 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy unikać uruchamiania Turborepo w niezaufanych repozytoriach.

Oryginalny opis (angielski, źródło NVD)

Turborepo is a high-performance build system for JavaScript and TypeScript codebases. From 1.1.0 to before 2.9.14, Turborepo can be vulnerable to arbitrary code execution when run in untrusted repositories that contain malicious Yarn configuration. In affected versions, package manager detection executed yarn --version from the project directory, which could cause Yarn to load and execute a project-controlled yarnPath from .yarnrc.yml. An attacker who controls repository contents could cause code execution when a user or CI system runs affected turbo, @turbo/codemod, or @turbo/workspace conversion commands. This vulnerability is fixed in 2.9.14.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS