プラットフォーム
javascript
コンポーネント
mise
修正版
2026.2.19
CVE-2026-35533 is a high-severity vulnerability affecting Mise, a dev tool manager for Node, Python, CMake, and Terraform. This vulnerability arises from Mise loading trust-control settings from local project .mise.toml files before performing trust checks. An attacker can exploit this by placing a malicious .mise.toml file in a repository, potentially leading to arbitrary code execution. Affected versions include those between 2026.2.18 and 2026.4.5, inclusive; a fix is available in a patched version.
CVE-2026-35533 は、Node.js、Python、CMake、Terraform などの開発ツールを管理するツールである 'mise' に影響を与えます。2026.2.18 から 2026.4.5 のバージョン範囲において、'mise' は信頼チェックの実行前に、プロジェクトのローカルな .mise.toml ファイルから信頼制御設定をロードします。これにより、リポジトリに悪意のある .mise.toml ファイルを配置できる攻撃者は、そのファイルを信頼できるものとして見せかけ、[env] _.source、テンプレート、フック、またはタスクなどの危険なディレクティブを実行し、開発環境のセキュリティを損なう可能性があります。この脆弱性は、処理前に .mise.toml ファイルのソースを適切に検証しないことに起因し、'mise' の動作を操作することを可能にします。
この脆弱性の悪用には、攻撃者が脆弱なバージョン範囲 (2026.2.18 - 2026.4.5) 内の 'mise' インスタンスが使用するリポジトリに悪意のある .mise.toml ファイルを挿入できる必要があります。これは、GitHub や GitLab などの共有バージョン管理環境で、リポジトリへの書き込みアクセス権を持つ攻撃者がコンテンツを変更できる場合に発生する可能性があります。悪意のある .mise.toml ファイルが存在すると、'mise' はそれを信頼できるものとしてロードおよび処理し、ファイルで定義されている危険なディレクティブを実行します。影響は使用される悪意のあるディレクティブによって異なる可能性がありますが、システム上の任意のコードの実行が含まれる可能性があります。
Developers using Mise to manage their dev tools are at risk, particularly those working in environments where they regularly clone repositories from external sources. Teams relying on shared repositories or automated build processes are especially vulnerable, as a malicious .mise.toml file could be silently introduced into their workflow. Users of older Mise versions who haven't implemented strict code review practices are also at increased risk.
• javascript / supply-chain:
Get-ChildItem -Path $env:USERPROFILE\Documents\*.mise.toml -Recurse | Select-String -Pattern '_.source = ' -ErrorAction SilentlyContinue• javascript / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*mise*'} | Format-List TaskName, Actions• generic web:
curl -I https://your-mise-installation/ | grep -i 'Content-Type: application/toml'disclosure
patch
エクスプロイト状況
EPSS
0.01% (2% パーセンタイル)
CISA SSVC
現時点では、CVE-2026-35533 の公式な修正 (fix) はありません。最も効果的な軽減策は、信頼できないリポジトリで 'mise' の使用を避けることです。修正が利用可能になったら、2026.4.5 より新しいバージョンにアップグレードすることを強くお勧めします。それまでの間、一時的なセキュリティ対策として、特にサードパーティのリポジトリから、.mise.toml ファイルの内容を注意深く確認することができます。さらに、プロジェクトディレクトリへのアクセス権を制限することで、攻撃者が悪意のある .mise.toml ファイルを挿入するリスクを軽減できます。'mise' のアクティビティを監視し、異常な動作を検出することも、潜在的な攻撃を検出するのに役立ちます。
Actualice a una versión de mise posterior a 2026.4.5. Esta actualización corrige la vulnerabilidad al reforzar los controles de confianza para evitar la carga de configuraciones maliciosas desde archivos .mise.toml locales.
脆弱性分析と重要アラートをメールでお届けします。
'mise' は、Node.js、Python、CMake、Terraform などの開発ツールを簡素化して管理するツールです。
CVE-2026-35533 は、'mise' のこのセキュリティ脆弱性のためのユニークな識別子です。
2026.2.18 から 2026.4.5 の間の 'mise' のバージョンを使用している場合は、影響を受けています。
.mise.toml ファイルを注意深く確認し、プロジェクトディレクトリへのアクセス権を制限することが一時的な対策です。
'mise' の公式ドキュメントと、CVE-2026-35533 に関連するセキュリティアドバイザリを参照してください。
CVSS ベクトル