CVE-2026-45772
KrytyczneStreszczenie
Turborepo, system budowania dla kodów JavaScript i TypeScript, jest podatny na wykonanie dowolnego kodu w wersjach od 1.1.0 do przed 2.9.14, gdy jest uruchamiany w niezaufanych repozytoriach z złośliwą konfiguracją Yarn. Wykrywanie menedżera pakietów wykonuje polecenie yarn --version, co może prowadzić do załadowania i wykonania kodu z .yarnrc.yml kontrolowanego przez atakującego.
Ocena ryzyka
Organizacje mogą być narażone na wykonanie złośliwego kodu, co może prowadzić do utraty danych, naruszenia bezpieczeństwa lub przejęcia kontroli nad systemem. Atakujący mogą wykorzystać tę podatność, aby zainfekować środowiska CI lub lokalne maszyny deweloperów.
Rekomendacja
Zaleca się aktualizację Turborepo do wersji 2.9.14 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy unikać uruchamiania Turborepo w niezaufanych repozytoriach.
Oryginalny opis (angielski, źródło NVD)
Turborepo is a high-performance build system for JavaScript and TypeScript codebases. From 1.1.0 to before 2.9.14, Turborepo can be vulnerable to arbitrary code execution when run in untrusted repositories that contain malicious Yarn configuration. In affected versions, package manager detection executed yarn --version from the project directory, which could cause Yarn to load and execute a project-controlled yarnPath from .yarnrc.yml. An attacker who controls repository contents could cause code execution when a user or CI system runs affected turbo, @turbo/codemod, or @turbo/workspace conversion commands. This vulnerability is fixed in 2.9.14.

