CVE-2026-55441 in mise
Zusammenfassung
von VulDB • 26.06.2026
mise verwaltet Entwicklungstools wie node, python, cmake und terraform. Vor Version 2026.6.4 schränkt die Vertrauensfunktion (trust feature) von mise Konfigurationsdateien (mise.toml, .tool-versions) über trust_check ein; task-include-Dateien werden jedoch über einen Pfad geladen, der diese Prüfung niemals erreicht. Wenn ein Verzeichnis ein task-include-Verzeichnis enthält (mise-tasks/, .mise/tasks/, …), aber keine Konfigurationsdatei vorhanden ist, fällt mise auf die Standard-Includes zurück und rendert die tera-Felder jeder Aufgabe – und diese tera-Umgebung hat exec() registriert. Ein {{ exec(command='…') }} in einem beliebigen gerenderten Feld führt willkürliche Befehle aus, sobald die Aufgaben lediglich aufgelistet werden. Da keine Konfigurationsdatei zur Steuerung vorliegt, erscheint niemals eine Vertrauensabfrage (trust prompt). Bereits schreibgeschützte Befehle lösen dies aus: mise tasks, mise task ls, mise run, mise tasks --usage (die Abfrageshell-Vervollständigung wird bei Tab ausgelöst). Das Opfer muss lediglich in ein geklontes Repository wechseln und eine Aufgabe auflisten oder per Tab-Vervollständigung darauf zugreifen. Diese Schwachstelle wurde in Version 2026.6.4 behoben.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.