CVE-2022-36070 in Poetry
Zusammenfassung
von VulDB • 29.05.2026
Poetry ist ein Abhängigkeitsmanager für Python. Um Abhängigkeiten zu verarbeiten, die aus einem Git-Repository stammen, führt Poetry verschiedene Befehle aus, z. B. `git config`. Diese Befehle werden unter Verwendung des Namens der ausführbaren Datei und nicht ihres absoluten Pfads ausgeführt. Dies kann aufgrund der Art und Weise, wie Windows ausführbare Dateinamen in Pfade auflöst, zur Ausführung von nicht vertrauenswürdigen Code führen. Im Gegensatz zu Linux-basierten Betriebssystemen sucht Windows zuerst im aktuellen Verzeichnis nach der ausführbaren Datei und durchsucht anschließend die Pfade, die in der Umgebungsvariablen `PATH` definiert sind. Diese Schwachstelle kann zu einer beliebigen Codeausführung (Arbitrary Code Execution) führen, was zur Übernahme des Systems führen würde. Wenn ein Entwickler ausgenutzt wird, könnte der Angreifer Anmeldeinformationen stehlen oder seinen Zugriff dauerhaft machen. Wenn die Ausnutzung auf einem Server stattfindet, könnten Angreifer ihren Zugriff nutzen, um andere interne Systeme anzugreifen. Da diese Schwachstelle eine gewisse Benutzerinteraktion erfordert, ist sie nicht so gefährlich wie eine remote ausnutzbare. Dennoch stellt sie Entwickler in Gefahr, wenn sie mit nicht vertrauenswürdigen Dateien auf eine Weise umgehen, von der sie glauben, dass sie sicher ist. Das Opfer könnte sich auch nicht schützen, indem es Git- oder Poetry-Konfigurationsdateien überprüft, die möglicherweise im Verzeichnis vorhanden sind, da das Verhalten nicht dokumentiert ist. Die Versionen 1.1.9 und 1.2.0b1 enthalten Patches für dieses Problem.
If you want to get best quality of vulnerability data, you may have to visit VulDB.