PT-2026-41312 · Turborepo · Turborepo

Publicado

2026-05-15

·

Atualizado

2026-05-19

·

CVE-2026-45773

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas Turborepo versões anteriores a 2.9.14
Descrição Turborepo é um sistema de build de alta performance para bases de código JavaScript e TypeScript. Os fluxos de login e SSO auto-hospedados não validam um valor de estado CSRF (Cross-Site Request Forgery) no callback do localhost. Enquanto a CLI aguarda a autenticação, uma página web maliciosa pode enviar uma solicitação ao servidor de callback local com um token controlado por um invasor. Se aceita antes do callback legítimo, a CLI pode concluir o login com credenciais incorretas. Este problema afeta especificamente usuários que autenticam a CLI turbo contra endpoints de cache remoto ou autenticação auto-hospedados.
Recomendações Atualize para a versão 2.9.14.

Exploit

Correção

CSRF

Session Fixation

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-45773
GHSA-HCF7-66RW-9F5R

Produtos afetados

Turborepo