Plataforma
javascript
Componente
mise
Corrigido em
2026.2.19
CVE-2026-35533 is a high-severity vulnerability affecting Mise, a dev tool manager for Node, Python, CMake, and Terraform. This vulnerability arises from Mise loading trust-control settings from local project .mise.toml files before performing trust checks. An attacker can exploit this by placing a malicious .mise.toml file in a repository, potentially leading to arbitrary code execution. Affected versions include those between 2026.2.18 and 2026.4.5, inclusive; a fix is available in a patched version.
A vulnerabilidade CVE-2026-35533 afeta o 'mise', uma ferramenta para gerenciar ferramentas de desenvolvimento como Node.js, Python, CMake e Terraform. Entre as versões 2026.2.18 e 2026.4.5, o 'mise' carrega as configurações de controle de confiança de um arquivo .mise.toml local do projeto antes da verificação de confiança ser executada. Isso permite que um atacante que possa inserir um arquivo .mise.toml malicioso em um repositório faça com que esse mesmo arquivo pareça confiável e, em seguida, execute diretivas perigosas, como [env] _.source, templates, hooks ou tarefas, comprometendo potencialmente a segurança do ambiente de desenvolvimento. A vulnerabilidade reside na falta de validação adequada da origem do arquivo .mise.toml antes do seu processamento, permitindo a manipulação do comportamento do 'mise'.
A exploração desta vulnerabilidade requer que um atacante seja capaz de inserir um arquivo .mise.toml malicioso em um repositório usado por uma instância do 'mise' dentro do intervalo de versões vulneráveis (2026.2.18 - 2026.4.5). Isso pode ocorrer em um ambiente de controle de versão compartilhado, como GitHub ou GitLab, onde um atacante com acesso de gravação ao repositório pode modificar o conteúdo. Uma vez que o arquivo .mise.toml malicioso esteja presente, o 'mise' o carregará e processará como se fosse confiável, executando as diretivas perigosas definidas no arquivo. O impacto pode variar dependendo das diretivas maliciosas utilizadas, mas pode incluir a execução de código arbitrário no sistema.
Developers using Mise to manage their dev tools are at risk, particularly those working in environments where they regularly clone repositories from external sources. Teams relying on shared repositories or automated build processes are especially vulnerable, as a malicious .mise.toml file could be silently introduced into their workflow. Users of older Mise versions who haven't implemented strict code review practices are also at increased risk.
• javascript / supply-chain:
Get-ChildItem -Path $env:USERPROFILE\Documents\*.mise.toml -Recurse | Select-String -Pattern '_.source = ' -ErrorAction SilentlyContinue• javascript / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*mise*'} | Format-List TaskName, Actions• generic web:
curl -I https://your-mise-installation/ | grep -i 'Content-Type: application/toml'disclosure
patch
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Vetor CVSS
Atualmente, não existe uma correção (fix) oficial para CVE-2026-35533. A mitigação mais eficaz é evitar o uso do 'mise' com repositórios não confiáveis. Recomenda-se fortemente atualizar para uma versão posterior a 2026.4.5 assim que uma correção estiver disponível. Enquanto isso, pode ser implementada uma medida de segurança temporária, embora não perfeita: revisar cuidadosamente o conteúdo de qualquer arquivo .mise.toml antes de usá-lo, especialmente em repositórios de terceiros. Além disso, limitar as permissões de acesso aos diretórios do projeto pode reduzir o risco de um atacante inserir um arquivo .mise.toml malicioso. Monitorar a atividade do 'mise' e procurar comportamentos incomuns também pode ajudar a detectar possíveis ataques.
Actualice a una versión de mise posterior a 2026.4.5. Esta actualización corrige la vulnerabilidad al reforzar los controles de confianza para evitar la carga de configuraciones maliciosas desde archivos .mise.toml locales.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-35533 is a high-severity vulnerability in Mise, a dev tool manager, allowing attackers to inject malicious TOML code via .mise.toml files, potentially leading to arbitrary code execution.
You are affected if you are using Mise versions 2026.2.18 through 2026.4.5 and have not upgraded to a patched version.
Upgrade to a patched version of Mise. Until then, carefully review .mise.toml files from untrusted sources.
While no public exploits are currently known, the vulnerability's nature makes it a potential target for supply chain attacks.
Refer to the official Mise project's security advisories for the most up-to-date information and patch details.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.