CVE-2026-33646

Nome do Software Vulnerável e Versões Afetadas mise versões anteriores a 2026.3.10

Descrição O mise processa arquivos .tool-versions utilizando o mecanismo de templates Tera, que inclui a função exec() registrada, permitindo a execução de comandos arbitrários. No modo não-paranoico padrão, os arquivos .tool-versions não são submetidos à verificação de confiança, diferentemente dos arquivos .mise.toml. Isso permite que um invasor coloque um arquivo .tool-versions malicioso em um repositório contendo a sintaxe de template Tera. Quando um usuário com o mise ativado entra no diretório, o hook do shell analisa o arquivo automaticamente e executa os comandos dentro da função exec() silenciosamente, sem qualquer aviso ou solicitação de confiança. Os comandos são executados com os privilégios e o ambiente completos do usuário atual, podendo expor dados sensíveis como chaves de API, tokens e agentes SSH.

Recomendações Atualize para a versão 2026.3.10 do mise. Como mitigação temporária, ative o modo paranoico nas configurações para garantir que as verificações de confiança sejam realizadas em todos os arquivos de configuração.