CVE-2026-45772 in turborepoinformação

Sumário

de VulDB • 15/05/2026

O Turborepo é um sistema de build de alto desempenho para codebases em JavaScript e TypeScript. Das versões 1.1.0 até antes da 2.9.14, o Turborepo pode estar vulnerável à execução arbitrária de código quando executado em repositórios não confiáveis que contenham configurações maliciosas do Yarn. Nas versões afetadas, a detecção do gerenciador de pacotes executa `yarn --version` a partir do diretório do projeto, o que pode fazer com que o Yarn carregue e execute um `yarnPath` controlado pelo projeto, definido no arquivo `.yarnrc.yml`. Um atacante que controle o conteúdo do repositório pode provocar a execução de código quando um usuário ou um sistema de CI executa comandos de conversão afetados do `turbo`, `@turbo/codemod` ou `@turbo/workspace`. Esta vulnerabilidade foi corrigida na versão 2.9.14.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

13/05/2026

Divulgação

15/05/2026

Moderação

aceite

Entrada

VDB-364190

CPE

pronto

EPSS

0.00098

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45772
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45772
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45772/

VoltarVisão GeralPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!