Katalog CVE

CVE-2026-33646

KrytyczneCVSS 9.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.69%

Percentyl 48 — wyżej niż 48% wszystkich znanych CVE

Streszczenie

Narzędzie mise przed wersją 2026.3.10 przetwarza pliki .tool-versions przez silnik szablonów Tera z zarejestrowaną funkcją exec(), co umożliwia wykonanie dowolnych poleceń. W przeciwieństwie do plików .mise.toml, pliki .tool-versions nie podlegają weryfikacji zaufania w trybie nieparanoidalnym, co pozwala atakującemu na umieszczenie złośliwego pliku w repozytorium git i wykonanie kodu bez ostrzeżenia.

Ocena ryzyka

Ryzyko polega na tym, że ofiara z aktywowanym mise po przejściu do katalogu z repozytorium git zawierającym złośliwy plik .tool-versions może nieświadomie uruchomić dowolne polecenia, co prowadzi do przejęcia kontroli nad systemem lub kradzieży danych.

Rekomendacja

Należy natychmiast zaktualizować mise do wersji 2026.3.10 lub nowszej. Dodatkowo rozważ włączenie trybu paranoidalnego (paranoid mode) dla wszystkich plików konfiguracyjnych, aby wymusić weryfikację zaufania.

Oryginalny opis (angielski, źródło NVD)

mise manages dev tools like node, python, cmake, and terraform. Prior to 2026.3.10, mise processes .tool-versions files through the Tera template engine during parsing, with the exec() function registered, enabling arbitrary command execution. Unlike .mise.toml files, .tool-versions files are not subject to trust verification in non-paranoid mode. This means an attacker can place a malicious .tool-versions file in a git repository, and when a victim with mise activated cds into the directory, arbitrary commands execute without any trust prompt. This vulnerability is fixed in 2026.3.10.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS