CVE-2026-33646
KrytyczneCVSS 9.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 48 — wyżej niż 48% wszystkich znanych CVE
Streszczenie
Narzędzie mise przed wersją 2026.3.10 przetwarza pliki .tool-versions przez silnik szablonów Tera z zarejestrowaną funkcją exec(), co umożliwia wykonanie dowolnych poleceń. W przeciwieństwie do plików .mise.toml, pliki .tool-versions nie podlegają weryfikacji zaufania w trybie nieparanoidalnym, co pozwala atakującemu na umieszczenie złośliwego pliku w repozytorium git i wykonanie kodu bez ostrzeżenia.
Ocena ryzyka
Ryzyko polega na tym, że ofiara z aktywowanym mise po przejściu do katalogu z repozytorium git zawierającym złośliwy plik .tool-versions może nieświadomie uruchomić dowolne polecenia, co prowadzi do przejęcia kontroli nad systemem lub kradzieży danych.
Rekomendacja
Należy natychmiast zaktualizować mise do wersji 2026.3.10 lub nowszej. Dodatkowo rozważ włączenie trybu paranoidalnego (paranoid mode) dla wszystkich plików konfiguracyjnych, aby wymusić weryfikację zaufania.
Oryginalny opis (angielski, źródło NVD)
mise manages dev tools like node, python, cmake, and terraform. Prior to 2026.3.10, mise processes .tool-versions files through the Tera template engine during parsing, with the exec() function registered, enabling arbitrary command execution. Unlike .mise.toml files, .tool-versions files are not subject to trust verification in non-paranoid mode. This means an attacker can place a malicious .tool-versions file in a git repository, and when a victim with mise activated cds into the directory, arbitrary commands execute without any trust prompt. This vulnerability is fixed in 2026.3.10.

