Plateforme
javascript
Composant
mise
Corrigé dans
2026.2.19
CVE-2026-35533 is a high-severity vulnerability affecting Mise, a dev tool manager for Node, Python, CMake, and Terraform. This vulnerability arises from Mise loading trust-control settings from local project .mise.toml files before performing trust checks. An attacker can exploit this by placing a malicious .mise.toml file in a repository, potentially leading to arbitrary code execution. Affected versions include those between 2026.2.18 and 2026.4.5, inclusive; a fix is available in a patched version.
La vulnérabilité CVE-2026-35533 affecte 'mise', un outil de gestion d'outils de développement tels que Node.js, Python, CMake et Terraform. Entre les versions 2026.2.18 et 2026.4.5, 'mise' charge les paramètres de contrôle de confiance à partir d'un fichier .mise.toml local du projet avant que la vérification de confiance ne soit exécutée. Cela permet à un attaquant capable de placer un fichier .mise.toml malveillant dans un dépôt de faire en sorte que ce même fichier apparaisse comme faisant confiance, puis d'exécuter des directives dangereuses telles que [env] _.source, des modèles, des hooks ou des tâches, compromettant potentiellement la sécurité de l'environnement de développement. La vulnérabilité réside dans le manque d'une validation appropriée de la source du fichier .mise.toml avant son traitement, ce qui permet de manipuler le comportement de 'mise'.
L'exploitation de cette vulnérabilité nécessite qu'un attaquant soit capable d'insérer un fichier .mise.toml malveillant dans un dépôt utilisé par une instance de 'mise' dans la plage de versions vulnérables (2026.2.18 - 2026.4.5). Cela pourrait se produire dans un environnement de contrôle de version partagé, tel que GitHub ou GitLab, où un attaquant disposant d'un accès en écriture au dépôt peut modifier le contenu. Une fois le fichier .mise.toml malveillant présent, 'mise' le chargera et le traitera comme s'il était digne de confiance, en exécutant les directives dangereuses définies dans le fichier. L'impact peut varier en fonction des directives malveillantes utilisées, mais peut inclure l'exécution de code arbitraire sur le système.
Developers using Mise to manage their dev tools are at risk, particularly those working in environments where they regularly clone repositories from external sources. Teams relying on shared repositories or automated build processes are especially vulnerable, as a malicious .mise.toml file could be silently introduced into their workflow. Users of older Mise versions who haven't implemented strict code review practices are also at increased risk.
• javascript / supply-chain:
Get-ChildItem -Path $env:USERPROFILE\Documents\*.mise.toml -Recurse | Select-String -Pattern '_.source = ' -ErrorAction SilentlyContinue• javascript / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*mise*'} | Format-List TaskName, Actions• generic web:
curl -I https://your-mise-installation/ | grep -i 'Content-Type: application/toml'disclosure
patch
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
Actuellement, il n'existe aucun correctif (fix) officiel pour CVE-2026-35533. L'atténuation la plus efficace consiste à éviter d'utiliser 'mise' avec des dépôts non fiables. Il est fortement recommandé de mettre à niveau vers une version ultérieure à 2026.4.5 dès qu'un correctif est disponible. En attendant, une mesure de sécurité temporaire peut être mise en œuvre, bien qu'imparfaite : examiner attentivement le contenu de tout fichier .mise.toml avant de l'utiliser, en particulier à partir de dépôts tiers. De plus, la limitation des autorisations d'accès aux répertoires de projet peut réduire le risque qu'un attaquant insère un fichier .mise.toml malveillant. La surveillance de l'activité de 'mise' et la recherche de comportements inhabituels peuvent également aider à détecter les attaques potentielles.
Actualice a una versión de mise posterior a 2026.4.5. Esta actualización corrige la vulnerabilidad al reforzar los controles de confianza para evitar la carga de configuraciones maliciosas desde archivos .mise.toml locales.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-35533 is a high-severity vulnerability in Mise, a dev tool manager, allowing attackers to inject malicious TOML code via .mise.toml files, potentially leading to arbitrary code execution.
You are affected if you are using Mise versions 2026.2.18 through 2026.4.5 and have not upgraded to a patched version.
Upgrade to a patched version of Mise. Until then, carefully review .mise.toml files from untrusted sources.
While no public exploits are currently known, the vulnerability's nature makes it a potential target for supply chain attacks.
Refer to the official Mise project's security advisories for the most up-to-date information and patch details.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.