CVE-2022-36070

Versões do Poetry anteriores à 1.1.9

Versões do Poetry anteriores à 1.2.0b1

O problema surge porque o Poetry executa comandos como git config usando o nome do executável em vez de seu caminho absoluto. Isso pode levar à execução de código não confiável devido à forma como o Windows resolve nomes de executáveis em caminhos, pesquisando primeiro o diretório atual e, em seguida, os caminhos definidos na variável de ambiente PATH. Isso pode resultar na execução de código arbitrário, levando potencialmente à tomada de controle do sistema. Se um desenvolvedor for explorado, os invasores poderiam roubar credenciais ou manter seu acesso. Em um servidor, os invasores poderiam usar seu acesso para atacar outros sistemas internos. A vulnerabilidade requer interação do usuário e é particularmente arriscada ao lidar com arquivos não confiáveis, já que o comportamento não está documentado e não pode ser protegido por meio da verificação de arquivos de configuração do Git ou do Poetry.

Atualize para a versão 1.1.9 ou posterior para resolver o problema.

Atualize para a versão 1.2.0b1 ou posterior para resolver o problema.

Como solução alternativa temporária, considere evitar o uso do Poetry com repositórios Git não confiáveis até que um patch seja aplicado.

Restrinja o acesso a diretórios que possam conter arquivos maliciosos para minimizar o risco de exploração.