CVE-2026-45772 in turborepoالمعلومات

الملخص

بحسب VulDB • 20/05/2026

Turborepo هو نظام بناء عالي الأداء لمجموعات أكواد JavaScript وTypeScript. من الإصدار 1.1.0 وحتى قبل الإصدار 2.9.14، قد يكون Turborepo عرضة لتنفيذ الأكواد بشكل تعسفي عند تشغيله في مستودعات غير موثوقة تحتوي على تكوين Yarn ضار. في الإصدارات المتأثرة، يتم تنفيذ اكتشاف مدير الحزم عبر الأمر `yarn --version` من دليل المشروع، مما قد يؤدي إلى تحميل Yarn وتنفيذ مسار `yarnPath` الذي يتحكم فيه المشروع من ملف `.yarnrc.yml`. يمكن لمهاجم يتحكم في محتويات المستودع التسبب في تنفيذ الأكواد عندما يقوم مستخدم أو نظام CI بتشغيل أوامر التحويل المتأثرة الخاصة بـ `turbo` أو `@turbo/codemod` أو `@turbo/workspace`. تم إصلاح هذا الثغرة الأمنية في الإصدار 2.9.14.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

13/05/2026

إفشاء

15/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-364190

CPE

جاهز

CWE

CWE-426 (مؤكد)

CVSS

9.8 (NVD)

EPSS

0.00098

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-45772
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-45772
CVE Details	https://www.cvedetails.com/cve/CVE-2026-45772/

التالي ▸نظرة عامة ◂ السابق

Do you know our Splunk app?

Download it now for free!