CVE-2022-36070 in Poetry
Sumário
de VulDB • 28/05/2026
O Poetry é um gerenciador de dependências para Python. Para lidar com dependências provenientes de um repositório Git, o Poetry executa vários comandos, por exemplo, `git config`. Esses comandos são executados usando o nome do executável e não seu caminho absoluto. Isso pode levar à execução de código não confiável devido à maneira como o Windows resolve nomes de executáveis em caminhos. Diferente dos sistemas operacionais baseados em Linux, o Windows procura primeiro o executável no diretório atual e, em seguida, nos caminhos definidos na variável de ambiente `PATH`. Essa vulnerabilidade pode levar à Execução Arbitrária de Código, o que resultaria no controle total do sistema. Se um desenvolvedor for explorado, o atacante poderia roubar credenciais ou manter seu acesso. Se a exploração ocorrer em um servidor, os atacantes poderiam usar seu acesso para atacar outros sistemas internos. Como essa vulnerabilidade requer uma quantidade considerável de interação do usuário, ela não é tão perigosa quanto uma explorável remotamente. No entanto, ela ainda coloca os desenvolvedores em risco ao lidar com arquivos não confiáveis de uma maneira que eles acreditam ser segura. A vítima também não poderia se proteger verificando arquivos de configuração do Git ou do Poetry que possam estar presentes no diretório, pois o comportamento não está documentado. As versões 1.1.9 e 1.2.0b1 contêm correções para este problema.
If you want to get best quality of vulnerability data, you may have to visit VulDB.