CVE-2022-36070 in Poetry
Résumé
par VulDB • 28/05/2026
Poetry est un gestionnaire de dépendances pour Python. Pour gérer les dépendances provenant d'un dépôt Git, Poetry exécute diverses commandes, par exemple `git config`. Ces commandes sont exécutées en utilisant le nom de l'exécutable et non son chemin absolu. Cela peut entraîner l'exécution de code non fiable en raison de la manière dont Windows résout les noms d'exécutables en chemins. Contrairement aux systèmes d'exploitation basés sur Linux, Windows recherche d'abord l'exécutable dans le répertoire courant, puis dans les chemins définis dans la variable d'environnement `PATH`. Cette vulnérabilité peut entraîner une Exécution de Code Arbitraire, ce qui conduirait à la prise de contrôle du système. Si un développeur est exploité, l'attaquant pourrait voler des identifiants ou pérenniser son accès. Si l'exploitation a lieu sur un serveur, les attaquants pourraient utiliser cet accès pour attaquer d'autres systèmes internes. Étant donné que cette vulnérabilité nécessite une certaine interaction de la part de l'utilisateur, elle n'est pas aussi dangereuse qu'une vulnérabilité exploitable à distance. Cependant, elle expose toujours les développeurs à des risques lorsqu'ils traitent des fichiers non fiables d'une manière qu'ils jugent sûre. La victime ne pourrait pas non plus se protéger en vérifiant les fichiers de configuration Git ou Poetry qui pourraient être présents dans le répertoire, car ce comportement n'est pas documenté. Les versions 1.1.9 et 1.2.0b1 contiennent des correctifs pour ce problème.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.