Plattform
javascript
Komponente
mise
Behoben in
2026.2.19
CVE-2026-35533 is a high-severity vulnerability affecting Mise, a dev tool manager for Node, Python, CMake, and Terraform. This vulnerability arises from Mise loading trust-control settings from local project .mise.toml files before performing trust checks. An attacker can exploit this by placing a malicious .mise.toml file in a repository, potentially leading to arbitrary code execution. Affected versions include those between 2026.2.18 and 2026.4.5, inclusive; a fix is available in a patched version.
CVE-2026-35533 betrifft 'mise', ein Tool zur Verwaltung von Entwicklungswerkzeugen wie Node.js, Python, CMake und Terraform. Zwischen den Versionen 2026.2.18 und 2026.4.5 lädt 'mise' die Vertrauenskontroll-Einstellungen aus einer lokalen Projektdatei .mise.toml bevor die Vertrauensprüfung durchgeführt wird. Dies ermöglicht einem Angreifer, der eine bösartige .mise.toml-Datei in einem Repository platzieren kann, dazu, dass diese Datei als vertrauenswürdig erscheint und dann gefährliche Direktiven wie [env] _.source, Vorlagen, Hooks oder Aufgaben ausführt, wodurch die Sicherheit der Entwicklungsumgebung potenziell gefährdet wird. Die Schwachstelle liegt in der fehlenden ordnungsgemäßen Validierung der Quelle der .mise.toml-Datei vor deren Verarbeitung, was die Manipulation des Verhaltens von 'mise' ermöglicht.
Die Ausnutzung dieser Schwachstelle erfordert, dass ein Angreifer in der Lage ist, eine bösartige .mise.toml-Datei in ein Repository einzufügen, das von einer 'mise'-Instanz innerhalb des anfälligen Versionsbereichs (2026.2.18 - 2026.4.5) verwendet wird. Dies könnte in einer gemeinsam genutzten Versionskontrollumgebung wie GitHub oder GitLab erfolgen, in der ein Angreifer mit Schreibzugriff auf das Repository den Inhalt ändern kann. Sobald die bösartige .mise.toml-Datei vorhanden ist, lädt 'mise' sie und verarbeitet sie, als ob sie vertrauenswürdig wäre, und führt die im Dateis definierten gefährlichen Direktiven aus. Die Auswirkungen können je nach den verwendeten bösartigen Direktiven variieren, können aber die Ausführung von beliebigem Code auf dem System umfassen.
Developers using Mise to manage their dev tools are at risk, particularly those working in environments where they regularly clone repositories from external sources. Teams relying on shared repositories or automated build processes are especially vulnerable, as a malicious .mise.toml file could be silently introduced into their workflow. Users of older Mise versions who haven't implemented strict code review practices are also at increased risk.
• javascript / supply-chain:
Get-ChildItem -Path $env:USERPROFILE\Documents\*.mise.toml -Recurse | Select-String -Pattern '_.source = ' -ErrorAction SilentlyContinue• javascript / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*mise*'} | Format-List TaskName, Actions• generic web:
curl -I https://your-mise-installation/ | grep -i 'Content-Type: application/toml'disclosure
patch
Exploit-Status
EPSS
0.01% (2% Perzentil)
CISA SSVC
CVSS-Vektor
Es gibt derzeit keine offizielle Behebung (fix) für CVE-2026-35533. Die effektivste Abmilderung besteht darin, die Verwendung von 'mise' mit nicht vertrauenswürdigen Repositories zu vermeiden. Es wird dringend empfohlen, auf eine Version zu aktualisieren, die neuer als 2026.4.5 ist, sobald ein Patch verfügbar ist. In der Zwischenzeit kann eine vorübergehende Sicherheitsmaßnahme implementiert werden, obwohl sie nicht perfekt ist: Überprüfen Sie den Inhalt jeder .mise.toml-Datei sorgfältig, bevor Sie sie verwenden, insbesondere aus Drittanbieter-Repositories. Darüber hinaus kann die Beschränkung der Zugriffsberechtigungen für Projektverzeichnisse das Risiko verringern, dass ein Angreifer eine bösartige .mise.toml-Datei einfügt. Die Überwachung der 'mise'-Aktivität und die Suche nach ungewöhnlichem Verhalten können ebenfalls dazu beitragen, potenzielle Angriffe zu erkennen.
Actualice a una versión de mise posterior a 2026.4.5. Esta actualización corrige la vulnerabilidad al reforzar los controles de confianza para evitar la carga de configuraciones maliciosas desde archivos .mise.toml locales.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
CVE-2026-35533 is a high-severity vulnerability in Mise, a dev tool manager, allowing attackers to inject malicious TOML code via .mise.toml files, potentially leading to arbitrary code execution.
You are affected if you are using Mise versions 2026.2.18 through 2026.4.5 and have not upgraded to a patched version.
Upgrade to a patched version of Mise. Until then, carefully review .mise.toml files from untrusted sources.
While no public exploits are currently known, the vulnerability's nature makes it a potential target for supply chain attacks.
Refer to the official Mise project's security advisories for the most up-to-date information and patch details.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.