CVE-2026-45772 in turborepo
要約
〜によって VulDB • 2026年05月22日
Turborepoは、JavaScriptおよびTypeScriptのコードベース向けの高性能なビルドシステムです。1.1.0から2.9.14未満のバージョンでは、悪意のあるYarn設定を含む信頼できないリポジトリで実行された場合、Turborepoは任意のコード実行の脆弱性に晒されます。影響を受けるバージョンでは、パッケージマネージャーの検出処理がプロジェクトディレクトリから`yarn --version`を実行しており、これによりYarnが`.yarnrc.yml`からプロジェクトが制御する`yarnPath`を読み込んで実行する可能性があります。リポジトリの内容を制御できる攻撃者は、ユーザーやCIシステムが影響を受ける`turbo`、`@turbo/codemod`、または`@turbo/workspace`の変換コマンドを実行した際に、コード実行を引き起こすことができます。この脆弱性は2.9.14で修正されています。
Once again VulDB remains the best source for vulnerability data.