CVE-2026-55441

Nome do Software Vulnerável e Versões Afetadas mise versões anteriores a 2026.6.4

Description Uma falha no mecanismo de confiança permite a execução de comandos arbitrários quando um diretório contém diretórios de inclusão de tarefas (como mise-tasks/, .mise/tasks/, etc.), mas não possui um arquivo de configuração. Nesse cenário, o software retorna às inclusões padrão e renderiza os campos de tarefa usando o mecanismo de template Tera, que possui a função exec() registrada. Um invasor pode inserir uma sequência {{ exec(command='...') }} em qualquer campo renderizado de um arquivo de tarefa, que será executada automaticamente quando as tarefas forem listadas ou acessadas. Isso ocorre sem disparar um aviso de confiança, pois o caminho de carregamento ignora a função trust check. O problema pode ser acionado por comandos de apenas leitura, como mise tasks, mise task ls, mise run e mise tasks --usage, ou via preenchimento automático do shell ao pressionar Tab.

Recommendations Atualize o mise para a versão 2026.6.4 ou posterior.