CVE-2026-55448
ŚrednieCVSS 6.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 — wyżej niż 5% wszystkich znanych CVE
Streszczenie
Narzędzie mise (wersje od 2026.3.15 do 2026.6.4) ładuje konfigurację github.credential_command z lokalnego pliku projektu przed podjęciem decyzji o zaufaniu, a następnie wykonuje tę wartość za pomocą sh -c podczas rozwiązywania tokena GitHub. Osoba atakująca, która umieści plik .mise.toml w repozytorium, może wykonać dowolne polecenia powłoki, gdy ofiara uruchomi polecenie mise związane z GitHub i nie zostanie ustawiona zmienna środowiskowa tokena GitHub o wyższym priorytecie.
Ocena ryzyka
Ryzyko polega na możliwości zdalnego wykonania kodu (RCE) w kontekście użytkownika ofiary, co może prowadzić do przejęcia kontroli nad systemem, kradzieży danych lub dalszego rozprzestrzeniania się ataku w środowisku.
Rekomendacja
Należy niezwłocznie zaktualizować narzędzie mise do wersji 2026.6.4 lub nowszej. Do czasu aktualizacji zaleca się unikanie uruchamiania poleceń mise związanych z GitHub w repozytoriach pochodzących z niezaufanych źródeł.
Oryginalny opis (angielski, źródło NVD)
mise manages dev tools like node, python, cmake, and terraform. From 2026.3.15 until 2026.6.4, mise loads github.credential_command from local project config before any trust decision, then executes that value with sh -c when resolving a GitHub token. An attacker who can place a .mise.toml in a repository can execute arbitrary shell commands when the victim runs a GitHub-related mise command and no higher-priority GitHub token environment variable is set. This vulnerability is fixed in 2026.6.4.

