📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global phishing عبر القطاعات HIGH 2h Global apt التعليم CRITICAL 1h Global vulnerability برامج المؤسسات / أنظمة تخطيط موارد المؤسسات CRITICAL 2h Global vulnerability البنية التحتية لتكنولوجيا المعلومات CRITICAL 3h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 4h Global vulnerability قطاع تكنولوجيا المعلومات والحكومة CRITICAL 4h Global ransomware قطاعات متعددة / المؤسسات CRITICAL 5h Global general التكنولوجيا والقطاع القانوني MEDIUM 6h Global ransomware الخدمات المالية / العملات المشفرة CRITICAL 6h Global general أنظمة التحكم الصناعية / تكنولوجيا التشغيل HIGH 7h Global phishing عبر القطاعات HIGH 2h Global apt التعليم CRITICAL 1h Global vulnerability برامج المؤسسات / أنظمة تخطيط موارد المؤسسات CRITICAL 2h Global vulnerability البنية التحتية لتكنولوجيا المعلومات CRITICAL 3h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 4h Global vulnerability قطاع تكنولوجيا المعلومات والحكومة CRITICAL 4h Global ransomware قطاعات متعددة / المؤسسات CRITICAL 5h Global general التكنولوجيا والقطاع القانوني MEDIUM 6h Global ransomware الخدمات المالية / العملات المشفرة CRITICAL 6h Global general أنظمة التحكم الصناعية / تكنولوجيا التشغيل HIGH 7h Global phishing عبر القطاعات HIGH 2h Global apt التعليم CRITICAL 1h Global vulnerability برامج المؤسسات / أنظمة تخطيط موارد المؤسسات CRITICAL 2h Global vulnerability البنية التحتية لتكنولوجيا المعلومات CRITICAL 3h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 4h Global vulnerability قطاع تكنولوجيا المعلومات والحكومة CRITICAL 4h Global ransomware قطاعات متعددة / المؤسسات CRITICAL 5h Global general التكنولوجيا والقطاع القانوني MEDIUM 6h Global ransomware الخدمات المالية / العملات المشفرة CRITICAL 6h Global general أنظمة التحكم الصناعية / تكنولوجيا التشغيل HIGH 7h
الثغرات

CVE-2026-46508

مرتفع
CWE-77 — نوع الضعف
نُشر: May 15, 2026  ·  آخر تحديث: May 22, 2026  ·  المصدر: NVD
CVSS v3
7.8
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Turborepo is a high-performance build system for JavaScript and TypeScript codebases. Prior to 2.9.14000, the Turborepo LSP VS Code extension could execute shell commands derived from workspace-controlled values. The extension used string-based command execution for Turborepo daemon commands and task runs. A malicious workspace could provide crafted values through workspace settings or task names in the repository's source code that were interpolated into shell commands. When the extension activated or when a user ran a task through the extension, those values could be interpreted by the user's shell, allowing arbitrary command execution with the privileges of the local VS Code process. This vulnerability is fixed in 2.9.14000.

🤖 ملخص AI

Turborepo LSP VS Code extension versions prior to 2.9.14000 are vulnerable to arbitrary command execution through shell command injection via workspace-controlled values. A malicious workspace can exploit this by crafting values in workspace settings or task names that are interpolated into shell commands executed with VS Code process privileges. This vulnerability poses significant risk to Saudi developers and organizations using Turborepo for JavaScript/TypeScript development, particularly in fintech and government digital transformation initiatives.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 20, 2026 09:00
🇸🇦 التأثير على المملكة العربية السعودية
High impact for Saudi technology sector, particularly: (1) Fintech companies and digital banking platforms using Turborepo for development infrastructure; (2) Government digital transformation projects under NDMO and Vision 2030 initiatives; (3) Telecom sector (STC, Mobily) development teams; (4) Saudi tech startups and software development companies; (5) ARAMCO digital initiatives and subsidiary tech teams. Risk is elevated as developers may clone malicious repositories from supply chain sources or receive compromised workspace configurations.
🏢 القطاعات السعودية المتأثرة
Financial Services and Banking Government and Public Sector Telecommunications Energy and Utilities Healthcare Technology and Software Development E-commerce and Retail
⚖️ درجة المخاطر السعودية (AI)
7.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Audit all Turborepo LSP VS Code extension installations across development teams and identify current versions

2. Restrict cloning/opening of untrusted repositories in VS Code until patching is complete

3. Disable Turborepo LSP extension in VS Code if not actively required for development

4. Review recent workspace configurations and task definitions for suspicious values



PATCHING GUIDANCE:

1. Update Turborepo LSP VS Code extension to version 2.9.14000 or later immediately upon release

2. Verify extension updates through official VS Code Marketplace only

3. Implement automated extension update policies in organizational VS Code configurations



COMPENSATING CONTROLS (until patch available):

1. Implement workspace trust policies in VS Code - enable 'Restricted Mode' for untrusted workspaces

2. Use VS Code's built-in workspace trust feature to require explicit approval before executing tasks

3. Restrict developer access to clone repositories only from approved internal sources

4. Implement code review processes for any workspace configuration files (.vscode/settings.json, turborepo.json)

5. Monitor VS Code process execution logs for suspicious shell command patterns



DETECTION RULES:

1. Monitor for VS Code spawning shell processes (cmd.exe, powershell.exe, bash, sh) with unusual arguments

2. Alert on execution of commands containing interpolated variables from workspace settings

3. Track modifications to .vscode/settings.json and turborepo configuration files

4. Monitor for VS Code processes executing commands outside typical development tool paths
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. تدقيق جميع تثبيتات إضافة Turborepo LSP في VS Code عبر فرق التطوير وتحديد الإصدارات الحالية

2. تقييد استنساخ/فتح المستودعات غير الموثوقة في VS Code حتى اكتمال التصحيح

3. تعطيل إضافة Turborepo LSP في VS Code إذا لم تكن مطلوبة بنشاط للتطوير

4. مراجعة تكوينات مساحة العمل الأخيرة وتعريفات المهام للقيم المريبة



إرشادات التصحيح:

1. تحديث إضافة Turborepo LSP في VS Code إلى الإصدار 2.9.14000 أو أحدث فوراً عند الإصدار

2. التحقق من تحديثات الإضافة من خلال سوق VS Code الرسمي فقط

3. تنفيذ سياسات تحديث الإضافات الآلية في تكوينات VS Code التنظيمية



الضوابط البديلة (حتى توفر التصحيح):

1. تنفيذ سياسات ثقة مساحة العمل في VS Code - تفعيل 'الوضع المقيد' لمساحات العمل غير الموثوقة

2. استخدام ميزة ثقة مساحة العمل المدمجة في VS Code لطلب موافقة صريحة قبل تنفيذ المهام

3. تقييد وصول المطورين لاستنساخ المستودعات من المصادر الداخلية المعتمدة فقط

4. تنفيذ عمليات مراجعة الأكواد لأي ملفات تكوين مساحة العمل

5. مراقبة سجلات تنفيذ عمليات VS Code للأنماط المريبة



قواعد الكشف:

1. مراقبة VS Code الذي ينتج عمليات shell بحجج غير عادية

2. تنبيه عند تنفيذ أوامر تحتوي على متغيرات مدرجة من إعدادات مساحة العمل

3. تتبع التعديلات على ملفات تكوين مساحة العمل

4. مراقبة عمليات VS Code التي تنفذ أوامر خارج مسارات أدوات التطوير النموذجية
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.5.1.1 - Information security policies and procedures ECC 2024 A.6.1.1 - Access control and authentication ECC 2024 A.12.2.1 - Change management procedures ECC 2024 A.14.2.1 - Secure development practices
🔵 SAMA CSF
SAMA CSF ID.AM-2 - Software and hardware inventory SAMA CSF PR.AC-1 - Access control and authentication SAMA CSF PR.DS-6 - Secure development practices SAMA CSF DE.CM-1 - Detection and monitoring
🟡 ISO 27001:2022
ISO 27001:2022 A.5.1 - Policies for information security ISO 27001:2022 A.6.1 - Organization of information security ISO 27001:2022 A.8.1 - Asset management ISO 27001:2022 A.14.1 - Secure development and maintenance
🟣 PCI DSS v4.0.1
PCI DSS 6.2 - Secure development practices PCI DSS 6.3 - Development and test environments PCI DSS 6.4 - Change management procedures
📦 المنتجات المتأثرة 1 منتج
vercel:turborepo_language_server_protocol
📊 CVSS Score
7.8
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Attack VectorL — Low / Local
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionR — Required
ScopeU — Unchanged
ConfidentialityH — High
IntegrityH — High
AvailabilityH — High
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score7.8
CWECWE-77
EPSS0.02%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-05-15
المصدر nvd
المشاهدات 1
🇸🇦 درجة المخاطر السعودية
7.2
/ 10.0 — مخاطر السعودية
أولوية: HIGH
🏷️ الوسوم
CWE-77
🏢 توجيهات البائع
🔗 https://github.com/vercel/turborepo/security/advisor...
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.