Обнаружена критическая уязвимость NPM Turbo Workspaces//Опубликовано 2026-05-20//CVE-2026-45772

КОМАНДА БЕЗОПАСНОСТИ WP-FIREWALL

Turbo Workspaces CVE-2026-45772

Имя плагина @turbo/рабочие_пространства
Тип уязвимости Удаленное выполнение кода
Номер CVE CVE-2026-45772
Срочность Высокий
Дата публикации CVE 2026-05-20
Исходный URL-адрес CVE-2026-45772

NPM: Turbo ( @turbo/workspaces ) — Неожиданное выполнение локального кода во время обнаружения Yarn Berry (CVE-2026-45772)

Экспертное руководство для владельцев сайтов WordPress, разработчиков и хостов

TL;DR

  • Уязвимость в цепочке поставок высокой степени серьезности (CVE-2026-45772 / GHSA-3qcw-2rhx-2726), затрагивающая пакет NPM @turbo/workspaces (инструменты Turbo / Turborepo), может привести к неожиданному выполнению локального кода во время обнаружения окружений Yarn Berry (Yarn 2+).
  • Затронутые версии: >= 2.3.4, < 2.9.14 — исправлено в 2.9.14.
  • Влияние на WordPress: хотя это проблема экосистемы npm (не ошибка плагина WordPress), сайты WordPress могут быть подвержены риску через процессы разработки, сборки и развертывания, CI/CD, сборки на стороне хостинга и любое окружение, которое запускает инструменты node на серверах, имеющих доступ к производственным активам, учетным данным или хукам развертывания.
  • Немедленные действия: обновите @turbo/workspaces до 2.9.14 или более поздней версии во всех местах (локальная разработка, CI, образы сборки), зафиксируйте/закрепите зависимости, проведите аудит пайплайнов и хранилищ артефактов, измените секреты, если CI или машины сборки ненадежны, и просканируйте ваши репозитории и серверы на наличие признаков компрометации.
  • WP-Firewall может помочь обнаружить и смягчить поведение после эксплуатации на сайтах WordPress (управляемый WAF, сканер вредоносного ПО, виртуальное патчирование и мониторинг). См. детали и предложение бесплатного плана ниже.

Почему уязвимость пакета Node важна для WordPress

Большинство пользователей WordPress думают о PHP, плагинах и темах, когда рассматривают безопасность. Но современная разработка и операции WordPress часто включают инструменты Node.js:

  • Процессы сборки тем и плагинов используют Node (npm/yarn) для упаковки JS/CSS активов.
  • Статические сборки, безголовые сайты WordPress и активы блочного редактора зависят от npm.
  • Пайплайны CI/CD часто запускают npm/yarn на сборочных раннерах, имеющих доступ к учетным данным развертывания.
  • Некоторые хосты и управляемые платформы развертывания выполняют шаги сборки на своей инфраструктуре.

Уязвимость, позволяющая выполнение локального кода в широко используемом инструменте для разработчиков, может быть использована для внедрения вредоносного ПО в сборки, извлечения секретов из окружений сборки или выполнения бокового перемещения в производственные системы. Серьезность усиливается, когда агенты сборки имеют доступ к производственным учетным данным, SSH-ключам или токенам автоматизированного развертывания.

В чем заключается уязвимость (понятным языком)

Уязвимость находится в @turbo/рабочие_пространства пакете NPM и возникает во время автоматического обнаружения окружений Yarn Berry (Yarn v2+). Во время этой процедуры обнаружения ненадежный или вредоносный код может быть выполнен локально на машине, которая выполняет обнаружение — например, на ноутбуке разработчика, CI-раннере или сервере сборки на стороне хоста.

Поскольку это происходит до настоящих проверок времени сборки или изоляции во многих настройках, это может быть использовано для:

  • Выполнения произвольных локальных команд.
  • Модификации файлов (включая исходные, lockfiles, собранные артефакты).
  • Украсть секреты, к которым может получить доступ агент сборки.
  • Сохранить заднюю дверь в сгенерированных артефактах, которые позже разворачиваются на производственных сайтах WordPress.

Уязвимость была оценена высоко (CVSS 9.8), потому что ее можно активировать сетевой активностью, она не требует привилегий, имеет низкую сложность активации и может привести к удаленному компромету в масштабах, если злоумышленники изменят пакеты или реестр.

Идентификаторы ссылок: CVE-2026-45772, GHSA-3qcw-2rhx-2726. Исправлено в @turbo/рабочие_пространства 2.9.14.

Кто должен быть наиболее обеспокоен

  • Разработчики тем и плагинов, которые запускают npm/yarn локально и в CI.
  • Инженеры DevOps и платформы, управляющие сборочными раннерами или репозиториями артефактов.
  • Управляемые хосты WordPress, которые выполняют процессы сборки от имени клиентов.
  • Агентства, которые поддерживают CI/CD конвейеры для многих клиентских сайтов.
  • Владельцы сайтов, которые позволяют сторонний доступ к репозиториям или токенам развертывания.

Даже если ваш производственный сайт WordPress не запускает Node напрямую, ваш конвейер сборки может производить артефакт (JS/CSS) или установщик (zip), который включает вредоносный код, внедренный во время сборки. Этот артефакт в конечном итоге разворачивается на сайте — и WAF или сканер, который проверяет только работающие PHP файлы WordPress, могут пропустить хитро встроенный JS или задние двери, добавленные во время сборки.

Сценарии атак — как это может быть использовано на практике

  1. Скомпрометированная транзитивная зависимость или захват реестра
    Злоумышленник внедряет вредоносный код в пакет, который подтягивается как транзитивная зависимость. Когда @turbo/рабочие_пространства запускает логику обнаружения Yarn на CI раннере, этот вредоносный код выполняется локально и изменяет артефакты сборки перед развертыванием.
  2. Вредоносный пакет в монорепозитории
    В монорепозитории, использующем turborepo, вредоносный разработчик (или скомпрометированная учетная запись) вводит пакет, который эксплуатирует рутину обнаружения. Во время CI код выполняется и эксфильтрует секреты или записывает заднюю дверь в активы, предназначенные для сайта WordPress.
  3. Компрометация публичного CI раннера
    Неавторизованный код выполняется на общих раннерах с широким доступом (хранилища артефактов, учетные данные Docker hub, ключи развертывания). Злоумышленник использует локальное выполнение кода, чтобы украсть токены и инициировать развертывания, содержащие вредоносный артефакт.
  4. Сборки на стороне хоста
    Некоторые хосты выполняют шаги сборки на своей инфраструктуре, когда пользователь вносит изменения. Если процесс сборки на стороне хоста запускается @turbo/рабочие_пространства Логика обнаружения небезопасна, среда хоста (и любые сайты арендаторов) могут быть подвержены риску.
  5. Компрометация машины разработчика, ведущая к атаке на цепочку поставок
    Ноутбук разработчика используется для сборки и публикации артефактов. Локальное выполнение кода используется для коммита или публикации пакетов с скрытыми нагрузками, которые позже заражают официальные артефакты.

Техническая коренная причина (на высоком уровне, не исчерпывающая)

Уязвимость сосредоточена на рутине обнаружения для Yarn Berry. Когда пакет пытается определить, используется ли Yarn Berry, его логика обнаружения может выполнять недоверенный код или следовать недоверенным файлам таким образом, что позволяет произвольному коду выполняться в локальной среде. Точные механизмы являются деталями реализации в пакете; практический эффект заключается в том, что недоверенные входные данные или содержимое пакета могут вызвать выполнение кода на исполнителе обнаружения.

Поскольку обнаружение происходит на ранних этапах многих рабочих процессов сборки и часто с теми же привилегиями, что и другие шаги сборки, поверхность атаки значительна.

Оценка рисков для сред WordPress

  • CVSS: 9.8 (критическая/высокая степень серьезности)
  • Необходимые привилегии: Нет (нападающий может инициировать через сеть или цепочку поставок)
  • Сложность: Низкая (типичный процесс сборки инициирует обнаружение)
  • Влияние: Удаленное выполнение кода на агенте сборки, потенциальная возможность широкого компрометации цепочки поставок

Для сайта WordPress реальный вектор риска не сам код PHP во время выполнения, а целостность активов и артефактов развертывания. Скомпрометированный процесс сборки может вставить задние двери в распределенный код, скрыть вредоносный JS в темах/плагинах или изменить скрипты развертывания так, чтобы производственные среды позже стали целью.

Немедленные действия (что делать сегодня)

  1. Обновите @turbo/workspaces до 2.9.14 или более поздней версии где бы это ни использовалось — локальные машины разработки, образы Docker, образы сборки CI и любая серверная инфраструктура сборки.
    • В package.json или инструментах монорепозитория увеличьте версию или выполните команду обновления вашего менеджера зависимостей.
  2. Зафиксируйте/заблокируйте ваши зависимости чтобы временные установки были воспроизводимыми:
    • Убедитесь, что файлы блокировки (yarn.lock / package-lock.json) зафиксированы и используются CI.
    • Использовать npm ci или yarn --frozen-lockfile в CI для обеспечения целостности lockfile.
  3. Пересобрать и повторно развернуть ресурсы после обновления зависимостей.
  4. Проверить артефакты сборки и репозитории для неожиданных изменений:
    • Проверить наличие новых или измененных файлов, неожиданных скриптов в package.json или файлов, записанных во время шагов сборки.
  5. Аудит секретов и токенов CI/CD используемых сборочными раннерами:
    • Поменять учетные данные, используемые раннерами или службами, которые могли быть раскрыты.
  6. Сканирование на наличие признаков компрометации:
    • Запустить сканеры на наличие вредоносного ПО на репозиториях, серверах и опубликованных ресурсах.
    • Проверить подозрительные исходящие соединения с серверов сборки.
  7. Укрепить среды сборки:
    • Использовать эфемерные сборочные раннеры и неизменяемые образы.
    • Ограничить сетевой доступ и область действия учетных данных.
  8. Сообщите вашей команде и провести целенаправленный обзор инцидентов, если есть какие-либо доказательства необычной активности.

Контрольный список по укреплению разработчиков и CI/CD

  • Всегда запускать сборки в эфемерных, изолированных средах (контейнерные раннеры, эфемерные ВМ).
  • Ограничить область действия учетных данных в средах сборки (токены с наименьшими привилегиями; отделить токены развертывания от хранения артефактов).
  • Использовать закрепление образов контейнеров и воспроизводимые базовые образы для образов сборки.
  • Обеспечить проверку lockfile (npm ci / yarn –frozen-lockfile) и включить проверки целостности.
  • Использовать подпись пакетов, проверку контрольных сумм или частные реестры, где это возможно.
  • Проверяйте все транзитивные зависимости и рассмотрите возможность сканирования зависимостей: отмечайте новые или необычные пакеты, добавленные в PR.
  • Установите строгую политику для публикации пакетов и слияния изменений зависимостей; требуйте код-ревью для изменений в package.json.
  • Используйте счет-фактуру программного обеспечения (SBOM) для сборок и прозрачности цепочки поставок.
  • Запускайте статический анализ и SCA (анализ состава программного обеспечения) в рамках PR и CI пайплайнов.
  • Ограничьте среду выполнения процессов сборки (нет доступа к учетным данным производственной базы данных, SSH-ключам или ключам развертывания, если это не строго необходимо).
  • Удалите node_modules или артефакты сборки из репозиториев кода перед развертыванием, если они не нужны для выполнения.

Как обнаружить эксплуатацию и на что обращать внимание

Если вы беспокоитесь, что агент сборки или пайплайн могли быть скомпрометированы, проверьте следующее:

  • Неожиданные изменения в собранных активах (JS файлы, минифицированные пакеты, карты источников), содержащие обфусцированный или незнакомый код.
  • Новые или измененные скрипты в package.json, не одобренные разработчиками.
  • Исходящие соединения с CI/сборочных серверов к незнакомым конечным точкам во время сборки.
  • Новые коммиты или теги, созданные агентами CI или неизвестными пользователями.
  • Неожиданные события npm publish из ваших аккаунтов или токенов CI.
  • Журналы доступа конечных точек развертывания, показывающие неожиданные развертывания вне запланированных операций.
  • Необычное увеличение числа неудачных сборок или необъяснимых артефактов сборки.

Для серверов WordPress также проверьте на:

  • Ново введенный JavaScript в области темы/футера, внедренные объявления или скиммеры кредитных карт.
  • PHP-задние двери, замаскированные под безобидные файлы (ищите файлы с странными именами или необычными временными метками последнего изменения).
  • Измененные файлы ядра или файлы плагинов/тем, которые не соответствуют ожидаемым контрольным суммам.

Изоляция и устранение, если вы найдете индикаторы.

  1. Изолируйте затронутые машины: отключите CI-агента или сервер сборки.
  2. Отмените и измените любые секреты, которые использовали агенты сборки (ключи API, ключи развертывания, токены).
  3. Пересоберите артефакты в чистой, обновленной среде после обновления зависимостей.
  4. Замените артефакты на серверах свежими, проверенными версиями.
  5. Если затронут репозиторий опубликованного плагина/темы, исследуйте любые релизы в период компрометации и рассмотрите возможность отката или повторной публикации из чистого источника.
  6. Проведите полный обзор кода и конфигурации на предмет подозрительных изменений, внесенных в предполагаемый период.
  7. Уведомите затронутых клиентов или заинтересованные стороны в соответствии с вашим планом реагирования на инциденты и регуляторными обязательствами.
  8. Если злоумышленник, вероятно, получил доступ к производственным системам, следуйте полному реагированию на инциденты: судебная экспертиза, долгосрочная ротация учетных данных и, возможно, помощь сторонних организаций по реагированию на инциденты.

Ограничения сетевых брандмауэров и WAF для проблем цепочки поставок

Веб-аппликационный брандмауэр (WAF) и сетевой брандмауэр необходимы для защиты работающего сайта WordPress от веб-атак, попыток инъекций и вредоносного трафика. Однако WAF имеют ограниченные возможности предотвращения компрометаций цепочки поставок или во время сборки, потому что:

  • Вредоносный код может быть внедрен до развертывания — WAF не может заблокировать то, что уже является частью развернутых файлов.
  • Компрометации во время сборки часто происходят в средах, которые WAF не видит (ноутбуки разработчиков, CI-агенты, системы сборки на стороне хоста).
  • Обнаружение обфусцированных или новых полезных нагрузок требует поведенческого сканирования, обновлений сигнатур и мониторинга целостности файлов — не все WAF могут надежно обнаруживать это в статических ресурсах.

Тем не менее, WAF все еще ценны как последняя линия защиты: они могут обнаруживать и блокировать распространенные схемы эксплуатации, предотвращать попытки эксфильтрации и поднимать тревогу, когда на живом сайте происходит аномальное поведение. Сочетайте WAF с мерами по укреплению конвейера, описанными ранее — многослойная защита является единственной надежной стратегией.

Как WP-Firewall помогает защищать сайты WordPress (что мы предоставляем)

Как поставщик безопасности WordPress, сосредоточенный на защите сайтов и смягчении инцидентов, WP-Firewall предлагает многослойный подход, чтобы помочь ограничить ущерб от такого рода инцидентов цепочки поставок:

  • Управляемые правила WAF, которые блокируют распространенные векторы веб-атак и обнаруживают подозрительное поведение эксплуатации против вашего живого сайта.
  • Сканирование на наличие вредоносного ПО, которое ищет внедренный JavaScript, шаблоны кода задней двери и аномальные файлы в темах/плагинах.
  • Мониторинг целостности файлов в реальном времени, который может предупреждать о неожиданных изменениях файлов в вашей файловой системе WordPress.
  • Виртуальное патчирование для определенных схем атак (быстрое смягчение, когда новая уязвимость обнаружена в дикой природе).
  • Автоматизированное смягчение рисков OWASP Top 10, что снижает вероятность того, что внедренный код может быть использован для эксплуатации других уязвимостей на сайте.
  • Для платных планов автоматическое виртуальное патчирование уязвимостей и ежемесячные отчеты по безопасности, чтобы держать вас в курсе статуса рисков и устранения проблем.

Важный: WP-Firewall не может заменить хорошую гигиену разработки. Наши функции предназначены для смягчения и обнаружения проблем после развертывания, а также для поддержки восстановления — шаги по укреплению цепочки поставок и CI/CD, описанные ранее, являются необходимыми дополнениями.

Долгосрочные практики цепочки поставок, которые должна принять каждая организация WordPress

  • Поддерживайте реестр материалов программного обеспечения (SBOM) для всех процессов сборки.
  • Используйте минимальные, неизменяемые образы сборки для CI, которые включают только инструменты, необходимые для компиляции ресурсов.
  • Предпочитайте частные реестры для критических пакетов и используйте белые списки для зависимостей.
  • Реализуйте аттестации для артефактов сборки (подписание артефактов и проверка подписей во время развертывания).
  • Запускайте воспроизводимые сборки, когда это возможно, чтобы артефакты, собранные в скомпрометированном исполнителе, можно было сравнить с доверенным выводом сборки.
  • Установите политику проверки зависимостей и оповещения о изменениях зависимостей в PR.
  • Реализуйте принцип наименьших привилегий для токенов CI и регулярно их меняйте.
  • Держите инструменты разработчика в актуальном состоянии и обеспечивайте регулярные обновления зависимостей с тестированием и поэтапным развертыванием.

Практические команды и дополнения CI (примеры)

  • Используйте установки с замороженным файлом блокировки, чтобы избежать неожиданных изменений:
    • npm: npm ci
    • yarn: yarn install --frozen-lockfile
  • В CI добавьте шаг сканирования SCA:
    • Запустите npm audit или используйте инструмент SCA для раннего выявления известных уязвимостей.
  • Обеспечьте соблюдение файлов блокировки в CI:
    • Проверьте, что yarn.lock или package-lock.json соответствует версиям репозитория перед сборкой и завершите сборки, если они не совпадают.
  • Используйте эфемерные раннеры и очищайте кэши после сборок, чтобы уменьшить постоянную поверхность атаки.

Примечание: Точные команды и конфигурация CI зависят от вашего поставщика CI и стека. Принцип заключается в том, чтобы сделать сборки повторяемыми и проверяемыми.

Пример плейбука инцидента (высокий уровень)

  1. Патч: обновите @turbo/workspaces до >= 2.9.14 во всех кодовых базах и образах.
  2. Проверьте: выполните чистые сборки с использованием патченных версий инструментов и сравните артефакты.
  3. Карантин: отключите подозрительные сборочные раннеры и соберите логи.
  4. Ротация: немедленно регенерируйте секреты CI и развертывания, если есть подозрение на утечку.
  5. Повторное развертывание: разверните проверенные артефакты из чистых сборок.
  6. Мониторинг: увеличьте ведение журналов и мониторинг на сайте и в CI в течение 30 дней после инцидента.
  7. Отчет: задокументируйте временную шкалу инцидента и действия для соблюдения норм и ответственности.

Индикаторы обнаружения (быстрый контрольный список для аудитов)

  • Неожиданная активность npm/yarn из логов CI, не связанная с типичными сборками.
  • Новые пакеты, установленные во время сборки, которые не были в lockfiles.
  • Упакованные активы содержат неожиданные сетевые вызовы или зашифрованные полезные нагрузки.
  • Сборочные машины инициируют исходящие соединения с неизвестными или подозрительными доменами.
  • Необычные изменения файлов на веб-сервере вскоре после развертываний.

Если вы владелец сайта WordPress и не знаете, что делать прямо сейчас

  • Убедитесь, что ваши разработчики и системы CI применили патч (2.9.14+).
  • Спросите у вашего хостинг-провайдера, выполняют ли они какие-либо шаги сборки от вашего имени; если да, подтвердите, что они обновили свои образы сборки.
  • Если вы используете стороннее агентство или разработчика, подтвердите, что они обновили локальные среды и CI.
  • Просканируйте свой сайт с помощью комплексного сканера на наличие вредоносного ПО и выполните проверку целостности файлов — если у вас есть WP-Firewall, запустите сканер на наличие вредоносного ПО и обнаружение изменений в файлах.
  • Храните резервные копии и убедитесь, что вы можете восстановить чистое состояние при необходимости.

Проактивно укрепляйте защиту (рекомендуемые политики)

  • Требуйте, чтобы все производственные конвейеры развертывания работали в изолированных эфемерных средах.
  • Обязывайте применение lockfile и автоматические проверки SCA для всех слияний в основные ветки.
  • Применяйте подписанные коммиты и подписание артефактов для создания релизов, где это возможно.
  • Регулярно меняйте токены развертывания и ограничивайте их область применения только тем, что необходимо.

Обеспечьте безопасность вашего конвейера разработки WordPress — попробуйте WP-Firewall Free

Если вы хотите практическую отправную точку для защиты вашего живого сайта WordPress, пока вы укрепляете свой конвейер сборки, WP-Firewall предлагает бесплатный базовый план, который включает в себя основные защиты:

  • Базовая защита: управляемый межсетевой экран, неограниченная пропускная способность, WAF, сканер вредоносных программ и снижение 10 основных рисков OWASP.

Зарегистрируйтесь на бесплатный план сегодня и получите непрерывный мониторинг и автоматическое сканирование, чтобы помочь обнаружить подозрительные изменения после развертывания и попытки веб-атак:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Если вам нужны более продвинутые функции — автоматическое удаление вредоносного ПО, черный список IP, ежемесячные отчеты по безопасности, виртуальное патчирование и управляемые услуги — смотрите наши платные планы, которые масштабируются в соответствии с требованиями агентств и хостов.)

Часто задаваемые вопросы (FAQ)

В: Мой сайт чисто на PHP — нужно ли мне все еще беспокоиться о уязвимости пакета NPM?
О: Да. Если ваш конвейер разработки, тема или плагин в какой-либо момент используют инструменты Node.js (для упаковки JS, создания ресурсов редактора блоков или CI), артефакты сборки могут быть изменены скомпрометированной цепочкой инструментов. Даже если производственный PHP не использует Node, внедренный JavaScript в темах/плагинах или измененные скрипты развертывания могут скомпрометировать сайт WordPress.
В: Я запускаю сборки локально и развертываю артефакты вручную — риск ниже?
О: Потенциально, но не устранен. Локальные среды все еще являются поверхностями атаки. Убедитесь, что локальные инструменты обновлены, выполняйте воспроизводимые сборки и используйте подписанные артефакты или контрольные суммы для проверки целостности перед развертыванием.
В: Может ли WAF предотвратить это?
О: WAF может помочь смягчить некоторые угрозы после развертывания и блокировать эксплуатацию известных веб-образцов, но WAF не может исправить скомпрометированные артефакты сборки. Правильный подход многослойный: укрепляйте конвейеры сборки и используйте WAF + сканирование на наличие вредоносного ПО для обнаружения и смягчения проблем на живом сайте.

Заключительные слова — безопасность для современного WordPress

Современная разработка WordPress интегрирована с более широкой экосистемой JavaScript и DevOps. Это приносит продуктивность, но также и новые типы рисков. Уязвимость цепочки поставок в инструменте сборки может не быть уязвимостью PHP, но последствия могут быть идентичными: задние двери, кража данных, SEO-спам и влияние на пользователей.

Рассматривайте свой конвейер сборки как критическую границу безопасности. Своевременно обновляйте инструменты, применяйте воспроизводимые сборки и принципы минимальных привилегий, контролируйте как CI, так и производственные системы и используйте многослойную защиту для вашего сайта. WP-Firewall создан, чтобы быть частью этой многослойной защиты: управляемый WAF, сканирование и обнаружение вредоносного ПО, а также функции смягчения, которые помогают вам уменьшить радиус поражения, если инструмент на верхнем уровне был использован неправомерно.

Если вам нужна немедленная помощь, начните с обновления @turbo/рабочие_пространства до 2.9.14 (или более поздней версии) во всех средах, обеспечьте использование lockfile в CI и выполните полное сканирование сайта. И если у вас еще нет непрерывного мониторинга конечных точек и управляемого WAF, защищающего ваш живой сайт WordPress, рассмотрите план WP-Firewall Basic для быстрого получения необходимой защиты: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Будьте бдительны. Инструменты будут продолжать развиваться — ваши практики безопасности должны развиваться вместе с ними.

wordpress security update banner

Получайте WP Security Weekly бесплатно 👋
Зарегистрируйтесь сейчас!!

Подпишитесь, чтобы каждую неделю получать обновления безопасности WordPress на свой почтовый ящик.

Мы не спамим! Читайте наши политика конфиденциальности для получения более подробной информации.

Свяжитесь с нами, чтобы запланировать бесплатную консультацию по безопасности WordPress.

Связаться с нами

WP-брандмауэр
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Гонконг

Функции Ценообразование Блог Авторизоваться
политика конфиденциальности Условия обслуживания Документы Партнер

© 2026 WP-Firewall™