CVE-2026-35533

Nome do Software Vulnerável e Versões Afetadas mise versões 2026.2.18 através de 2026.4.5

Descrição mise carrega incorretamente as configurações de controle de confiança de um arquivo .mise.toml de projeto local antes de executar as verificações de confiança. Isso permite que um invasor que possa colocar um arquivo .mise.toml malicioso em um repositório o faça parecer confiável e, em seguida, execute diretivas perigosas como [env] .source, templates, hooks ou tarefas. A vulnerabilidade decorre do carregamento de arquivos de configurações locais sem verificar inicialmente sua confiabilidade. Especificamente, a configuração trusted config paths, quando definida como '/', permite que qualquer caminho absoluto seja considerado confiável. Isso ignora as medidas de segurança pretendidas. Um problema relacionado permite que as configurações locais yes = true ou ci = true aprovem automaticamente os prompts de confiança nas versões 2026.2.18 e posteriores, embora o vetor de exploração principal envolva a configuração trusted config paths. Uma prova de conceito demonstra que definir trusted config paths = ["/"] em um arquivo .mise.toml permite a execução de um script controlado por um invasor por meio de mise hook-env.

Recomendações Não honre as configurações de controle de confiança de arquivos de configuração de projeto não globais. Especificamente, ignore os campos trusted config paths, yes, ci e paranoid ao carregar arquivos de configuração de projeto locais.