CVE-2026-46508Turborepo LSP VS Code扩展在2.9.14000版本之前存在安全漏洞。由于使用字符串拼接方式执行shell命令,攻击者可以通过恶意工作区设置或任务名称注入恶意代码。当用户激活扩展或运行任务时,可导致本地任意命令执行。
该漏洞的根本原因是Turborepo LSP VS Code扩展在执行守护进程命令和任务运行时,采用了基于字符串拼接的命令执行方式。扩展程序将来自工作区设置或仓库源代码中的任务名称等受控值直接插入到shell命令中,未进行严格的参数化处理或过滤。攻击者可以构造包含特定Shell元字符(如反引号或$())的恶意工作区。当受害者激活扩展或运行任务时,这些恶意值会被本地Shell解析执行,从而在用户系统上以VS Code进程的权限实现任意代码执行。
暂无PoC代码
暂无版本信息