CVE-2022-36070 in Poetry
Tóm tắt
Bởi VulDB • 09/05/2026
Poetry là một công cụ quản lý phụ thuộc cho Python. Để xử lý các phụ thuộc đến từ kho lưu trữ Git, Poetry thực thi nhiều lệnh khác nhau, ví dụ: `git config`. Các lệnh này được thực thi bằng cách sử dụng tên của tệp thực thi thay vì đường dẫn tuyệt đối của nó. Điều này có thể dẫn đến việc thực thi mã không đáng tin cậy do cách Windows giải quyết tên tệp thực thi thành đường dẫn. Khác với các hệ điều hành dựa trên Linux, Windows tìm kiếm tệp thực thi trong thư mục hiện tại trước, sau đó mới tìm trong các đường dẫn được xác định trong biến môi trường `PATH`. Lỗ hổng này có thể dẫn đến Thực thi Mã tùy ý (Arbitrary Code Execution), từ đó dẫn đến việc chiếm quyền kiểm soát hệ thống. Nếu một nhà phát triển bị khai thác, kẻ tấn công có thể đánh cắp thông tin đăng nhập hoặc duy trì quyền truy cập của chúng. Nếu vụ khai thác xảy ra trên máy chủ, kẻ tấn công có thể sử dụng quyền truy cập đó để tấn công các hệ thống nội bộ khác. Vì lỗ hổng này yêu cầu sự tương tác đáng kể từ người dùng, nó không nguy hiểm bằng một lỗ hổng có thể khai thác từ xa. Tuy nhiên, nó vẫn đặt các nhà phát triển vào rủi ro khi xử lý các tệp không đáng tin cậy theo cách mà họ cho là an toàn. Người dùng cũng không thể tự bảo vệ mình bằng cách kiểm tra bất kỳ tệp cấu hình Git hoặc Poetry nào có thể có trong thư mục, vì hành vi này không được ghi chép đầy đủ. Các phiên bản 1.1.9 và 1.2.0b1 chứa các bản vá cho vấn đề này.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.