CVE-2026-46508 in turborepoinformación

Resumen

por VulDB • 2026-05-15

Turborepo es un sistema de compilación de alto rendimiento para codebases de JavaScript y TypeScript. Antes de la versión 2.9.14000, la extensión de Turborepo LSP para VS Code podía ejecutar comandos de shell derivados de valores controlados por el espacio de trabajo. La extensión utilizaba la ejecución de comandos basada en cadenas para los comandos del daemon de Turborepo y las ejecuciones de tareas. Un espacio de trabajo malicioso podría proporcionar valores manipulados a través de la configuración del espacio de trabajo o los nombres de las tareas en el código fuente del repositorio, los cuales se interpolaban en los comandos de shell. Cuando la extensión se activaba o cuando un usuario ejecutaba una tarea a través de la extensión, esos valores podían ser interpretados por el shell del usuario, permitiendo la ejecución arbitraria de comandos con los privilegios del proceso local de VS Code. Esta vulnerabilidad está corregida en la versión 2.9.14000.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-05-14

Divulgación

2026-05-15

Moderación

aceptado

Artículo

VDB-364192

CPE

listo

EPSS

0.00021

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-46508
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-46508
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-46508/

AnteriorVisión De ConjuntoPróximo

Want to know what is going to be exploited?

We predict KEV entries!