CVE-2026-45772 in turborepo
요약
\~에 의해 VulDB • 2026. 05. 15.
Turborepo는 JavaScript 및 TypeScript 코드베이스를 위한 고성능 빌드 시스템입니다. 1.1.0부터 2.9.14 이전 버전까지 Turborepo는 악의적인 Yarn 구성을 포함하는 신뢰할 수 없는 저장소에서 실행될 때 임의 코드 실행(Arbitrary Code Execution)에 취약할 수 있습니다. 영향을 받는 버전에서는 패키지 관리자 감지 과정에서 프로젝트 디렉토리에서 `yarn --version`을 실행했는데, 이로 인해 Yarn이 `.yarnrc.yml`에서 프로젝트가 제어하는 `yarnPath`를 로드하고 실행할 수 있었습니다. 저장소 내용을 제어하는 공격자는 사용자가 또는 CI 시스템이 영향을 받는 `turbo`, `@turbo/codemod`, 또는 `@turbo/workspace` 변환 명령을 실행할 때 코드 실행을 유발할 수 있습니다. 이 취약점은 2.9.14에서 수정되었습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.