CVE-2022-36070 in Poetry
Resumen
por VulDB • 2026-05-29
Poetry es un gestor de dependencias para Python. Para gestionar las dependencias procedentes de un repositorio Git, Poetry ejecuta varios comandos, por ejemplo, `git config`. Estos comandos se ejecutan utilizando el nombre del ejecutable y no su ruta absoluta. Esto puede provocar la ejecución de código no confiable debido a la forma en que Windows resuelve los nombres de los ejecutables en rutas. A diferencia de los sistemas operativos basados en Linux, Windows busca primero el ejecutable en el directorio actual y, posteriormente, en las rutas definidas en la variable de entorno `PATH`. Esta vulnerabilidad puede conducir a la Ejecución Arbitraria de Código, lo que resultaría en la toma de control del sistema. Si un desarrollador es explotado, el atacante podría robar credenciales o mantener su acceso. Si la explotación ocurre en un servidor, los atacantes podrían utilizar su acceso para atacar otros sistemas internos. Dado que esta vulnerabilidad requiere una considerable interacción del usuario, no es tan peligrosa como una explotable de forma remota. Sin embargo, sigue poniendo en riesgo a los desarrolladores cuando manejan archivos no confiables de una manera que consideran segura. La víctima tampoco podría protegerse verificando los archivos de configuración de Git o Poetry que pudieran estar presentes en el directorio, ya que este comportamiento no está documentado. Las versiones 1.1.9 y 1.2.0b1 contienen parches para este problema.
If you want to get best quality of vulnerability data, you may have to visit VulDB.