| タイトル | Vercel, Inc. (旧 Zeit, Inc.)のTurborepoにおける複数の脆弱性 |
|---|---|
| 概要 | TurborepoはJavaScriptおよびTypeScriptのコードベース向けの高性能ビルドシステムです。バージョン2.9.14以前のTurborepoのセルフホステッドログインおよびSSOブラウザフローにおいて、localhostコールバックでCSRFステート値の検証が行われていませんでした。CLIが認証を待機している間に、悪意のあるウェブページが攻撃者が制御するトークンを使ってローカルコールバックサーバーにリクエストを送信する可能性がありました。正当なコールバックより先にそれが受け入れられた場合、CLIは誤った認証情報でログインを完了してしまう可能性がありました。これはセルフホステッドのリモートキャッシュおよび認証エンドポイントに対してturbo CLIを認証するユーザーに影響を及ぼします。デバイス認証を使用するVercelホストのログインフローには影響しません。この脆弱性はバージョン2.9.14で修正されました。 |
| 想定される影響 | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月15日0:00 |
| 登録日 | 2026年5月21日10:54 |
| 最終更新日 | 2026年5月21日10:54 |
| CVSS3.0 : 警告 | |
| スコア | 6.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N |
| Vercel, Inc. (旧 Zeit, Inc.) |
| Turborepo 2.9.14 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月21日] 掲載 |
2026年5月21日10:54 |
| 概要 | Turborepo is a high-performance build system for JavaScript and TypeScript codebases. Prior to 2.9.14, Turborepo's self-hosted login and SSO browser flows did not validate a CSRF state value on the localhost callback. While the CLI was waiting for authentication, a malicious web page could send a request to the local callback server with an attacker-controlled token. If accepted before the legitimate callback, the CLI could complete login with the wrong credentials. This affects users authenticating the turbo CLI against self-hosted remote cache/auth endpoints. Vercel-hosted login flows using device authorization are not affected. This vulnerability is fixed in 2.9.14. |
|---|---|
| 公表日 | 2026年5月16日1:16 |
| 登録日 | 2026年5月17日4:12 |
| 最終更新日 | 2026年5月19日23:41 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:vercel:turborepo:*:*:*:*:*:node.js:*:* | 2.9.14 | ||||