Platform
javascript
Component
mise
Opgelost in
2026.2.19
mise is een tool voor het beheren van ontwikkeltools zoals Node, Python en Terraform. Deze kwetsbaarheid ontstaat doordat mise trust-control instellingen uit een lokaal project .mise.toml bestand laadt voordat de trust check wordt uitgevoerd. Een aanvaller kan een kwaadaardig .mise.toml bestand plaatsen in een repository, waardoor dit bestand als betrouwbaar wordt beschouwd en toegang tot gevaarlijke directives mogelijk wordt, zoals [env] _.source, templates, hooks, of tasks. De kwetsbaarheid treft versies tussen 2026.2.18 en 2026.4.5 inclusief. Een patch is beschikbaar.
CVE-2026-35533 treft 'mise', een tool voor het beheren van ontwikkeltools zoals Node.js, Python, CMake en Terraform. Tussen versies 2026.2.18 en 2026.4.5 laadt 'mise' de trust-control instellingen van een lokaal project .mise.toml bestand voordat de trust check wordt uitgevoerd. Dit stelt een aanvaller die een kwaadaardig .mise.toml bestand in een repository kan plaatsen, in staat om dat bestand als vertrouwbaar te laten lijken en vervolgens gevaarlijke directives uit te voeren, zoals [env] _.source, templates, hooks of taken, waardoor de beveiliging van de ontwikkelomgeving mogelijk wordt gecompromitteerd. De kwetsbaarheid ligt in het ontbreken van een juiste validatie van de bron van het .mise.toml bestand voordat het wordt verwerkt, waardoor de manipulatie van het gedrag van 'mise' mogelijk wordt.
Het exploiteren van deze kwetsbaarheid vereist dat een aanvaller in staat is om een kwaadaardig .mise.toml bestand in een repository te plaatsen dat wordt gebruikt door een 'mise' instantie binnen het kwetsbare versiebereik (2026.2.18 - 2026.4.5). Dit kan gebeuren in een gedeelde versiebeheeromgeving, zoals GitHub of GitLab, waar een aanvaller met schrijftoegang tot de repository de inhoud kan wijzigen. Zodra het kwaadaardige .mise.toml bestand aanwezig is, laadt 'mise' het en verwerkt het alsof het vertrouwelijk is, en voert de in het bestand gedefinieerde gevaarlijke directives uit. De impact kan variëren afhankelijk van de gebruikte kwaadaardige directives, maar kan de uitvoering van willekeurige code op het systeem omvatten.
Developers using Mise to manage their dev tools are at risk, particularly those working in environments where they regularly clone repositories from external sources. Teams relying on shared repositories or automated build processes are especially vulnerable, as a malicious .mise.toml file could be silently introduced into their workflow. Users of older Mise versions who haven't implemented strict code review practices are also at increased risk.
• javascript / supply-chain:
Get-ChildItem -Path $env:USERPROFILE\Documents\*.mise.toml -Recurse | Select-String -Pattern '_.source = ' -ErrorAction SilentlyContinue• javascript / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*mise*'} | Format-List TaskName, Actions• generic web:
curl -I https://your-mise-installation/ | grep -i 'Content-Type: application/toml'disclosure
patch
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
CVSS-vector
Er is momenteel geen officiële fix voor CVE-2026-35533. De meest effectieve mitigatie is om het gebruik van 'mise' met onbetrouwbare repositories te vermijden. Het wordt sterk aanbevolen om te upgraden naar een versie die nieuwer is dan 2026.4.5 zodra een patch beschikbaar is. In de tussentijd kan een tijdelijke beveiligingsmaatregel worden geïmplementeerd, hoewel niet perfect: controleer de inhoud van elk .mise.toml bestand zorgvuldig voordat u het gebruikt, vooral vanaf third-party repositories. Bovendien kan het beperken van de toegangsrechten voor projectmappen het risico verminderen dat een aanvaller een kwaadaardig .mise.toml bestand invoegt. Het monitoren van 'mise' activiteit en het zoeken naar ongebruikelijk gedrag kan ook helpen bij het detecteren van potentiële aanvallen.
Actualice a una versión de mise posterior a 2026.4.5. Esta actualización corrige la vulnerabilidad al reforzar los controles de confianza para evitar la carga de configuraciones maliciosas desde archivos .mise.toml locales.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-35533 is a high-severity vulnerability in Mise, a dev tool manager, allowing attackers to inject malicious TOML code via .mise.toml files, potentially leading to arbitrary code execution.
You are affected if you are using Mise versions 2026.2.18 through 2026.4.5 and have not upgraded to a patched version.
Upgrade to a patched version of Mise. Until then, carefully review .mise.toml files from untrusted sources.
While no public exploits are currently known, the vulnerability's nature makes it a potential target for supply chain attacks.
Refer to the official Mise project's security advisories for the most up-to-date information and patch details.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.