Katalog CVE

CVE-2026-55448

ŚrednieCVSS 6.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 5 — wyżej niż 5% wszystkich znanych CVE

Streszczenie

Narzędzie mise (wersje od 2026.3.15 do 2026.6.4) ładuje konfigurację github.credential_command z lokalnego pliku projektu przed podjęciem decyzji o zaufaniu, a następnie wykonuje tę wartość za pomocą sh -c podczas rozwiązywania tokena GitHub. Osoba atakująca, która umieści plik .mise.toml w repozytorium, może wykonać dowolne polecenia powłoki, gdy ofiara uruchomi polecenie mise związane z GitHub i nie zostanie ustawiona zmienna środowiskowa tokena GitHub o wyższym priorytecie.

Ocena ryzyka

Ryzyko polega na możliwości zdalnego wykonania kodu (RCE) w kontekście użytkownika ofiary, co może prowadzić do przejęcia kontroli nad systemem, kradzieży danych lub dalszego rozprzestrzeniania się ataku w środowisku.

Rekomendacja

Należy niezwłocznie zaktualizować narzędzie mise do wersji 2026.6.4 lub nowszej. Do czasu aktualizacji zaleca się unikanie uruchamiania poleceń mise związanych z GitHub w repozytoriach pochodzących z niezaufanych źródeł.

Oryginalny opis (angielski, źródło NVD)

mise manages dev tools like node, python, cmake, and terraform. From 2026.3.15 until 2026.6.4, mise loads github.credential_command from local project config before any trust decision, then executes that value with sh -c when resolving a GitHub token. An attacker who can place a .mise.toml in a repository can execute arbitrary shell commands when the victim runs a GitHub-related mise command and no higher-priority GitHub token environment variable is set. This vulnerability is fixed in 2026.6.4.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS