CVE-2022-36070 in Poetryالمعلومات

الملخص

بحسب VulDB • 28/05/2026

Poetry هو مدير تبعيات لـ Python. للتعامل مع التبعيات القادمة من مستودع Git، ينفذ Poetry أوامر مختلفة، مثل `git config`. يتم تنفيذ هذه الأوامر باستخدام اسم الملف التنفيذي وليس مساره المطلق. يمكن أن يؤدي هذا إلى تنفيذ كود غير موثوق به بسبب طريقة قيام Windows بحل أسماء الملفات التنفيذية إلى مساراتها. على عكس أنظمة التشغيل المستندة إلى Linux، تبحث Windows أولاً عن الملف التنفيذي في الدليل الحالي ثم تبحث في المسارات المحددة في متغير البيئة `PATH`. يمكن أن تؤدي هذه الثغرة إلى تنفيذ كود تعسفي (Arbitrary Code Execution)، مما يؤدي إلى الاستيلاء على النظام. إذا تم استغلال مطور، يمكن للمهاجم سرقة بيانات الاعتماد أو الحفاظ على وصوله. إذا حدث الاستغلال على خادم، يمكن للمهاجمين استخدام وصولهم لمهاجمة أنظمة داخلية أخرى. نظرًا لأن هذه الثغرة تتطلب قدرًا كبيرًا من تفاعل المستخدم، فهي ليست خطيرة مثل الثغرات القابلة للاستغلال عن بُعد. ومع ذلك، فإنها تعرض المطورين للخطر عند التعامل مع ملفات غير موثوقة بطريقة يعتقدون أنها آمنة. لا يمكن للضحية حماية نفسها أيضًا من خلال فحص أي ملفات تكوين Git أو Poetry قد تكون موجودة في الدليل، لأن السلوك غير موثق. تحتوي الإصدارات 1.1.9 و 1.2.0b1 على تصحيحات لهذه المشكلة.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub, Inc.

حجز

15/07/2022

إفشاء

07/09/2022

الاعتدال

تمت الموافقة

إدخال

VDB-208076

CPE

جاهز

CWE

CWE-426 (مؤكد)

CVSS

7.3 (CNA)

EPSS

0.00341

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2022-36070
NVD	https://nvd.nist.gov/vuln/detail/CVE-2022-36070
CVE Details	https://www.cvedetails.com/cve/CVE-2022-36070/

التالي ▸نظرة عامة ◂ السابق

Do you need the next level of professionalism?

Upgrade your account now!