CVE-2022-36070 in Poetry
要約
〜によって VulDB • 2026年05月29日
PoetryはPython用の依存関係マネージャーです。Gitリポジトリから取得する依存関係を処理するため、Poetryは `git config` などの各種コマンドを実行します。これらのコマンドは、絶対パスではなく実行ファイルの名前を使用して実行されます。これにより、Windowsにおける実行ファイル名のパス解決の仕組みにより、信頼できないコードが実行される可能性があります。Linuxベースのオペレーティングシステムとは異なり、Windowsはまず現在のディレクトリ内で実行ファイルを検索し、その後で `PATH` 環境変数に定義されたパスを検索します。この脆弱性により、任意のコード実行(Arbitrary Code Execution)が可能となり、システム乗っ取りにつながる可能性があります。開発者が標的となった場合、攻撃者は資格情報を盗み出したり、アクセスを永続化したりできます。サーバー上でエクスプロイトが発生した場合、攻撃者はそのアクセス権を利用して他の内部システムを攻撃することが可能です。この脆弱性には一定のユーザー対話が必要であるため、リモートからエクスプロイト可能な脆弱性ほど危険ではありません。しかし、安全だと思い込んで信頼できないファイルを扱う際、開発者は依然としてリスクに晒されます。被害者は、ディレクトリ内に存在する可能性のあるGitやPoetryの設定ファイルを精査することで自身を保護することができません。なぜなら、この動作は文書化されていないためです。バージョン1.1.9および1.2.0b1には、この問題に対するパッチが含まれています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.