CVE-2022-36070 in Poetry
摘要
由 VulDB • 2026-05-29
Poetry 是 Python 的依赖管理工具。为了处理来自 Git 仓库的依赖项,Poetry 会执行各种命令,例如 `git config`。这些命令是使用可执行文件的名称而非其绝对路径来执行的。由于 Windows 解析可执行文件名称到路径的方式,这可能导致不受信任的代码被执行。与基于 Linux 的操作系统不同,Windows 会首先在当前位置搜索可执行文件,然后才查找 `PATH` 环境变量中定义的路径。此漏洞可能导致任意代码执行,从而导致系统被接管。如果开发人员受到攻击,攻击者可能会窃取凭据或维持其访问权限。如果漏洞在服务器上被利用,攻击者可以利用其访问权限攻击其他内部系统。由于此漏洞需要大量的用户交互,因此其危险程度不如可远程利用的漏洞。然而,当开发人员以他们认为安全的方式处理不受信任的文件时,他们仍然面临风险。受害者也无法通过检查目录中可能存在的任何 Git 或 Poetry 配置文件来保护自己,因为这种行为未记录在案。版本 1.1.9 和 1.2.0b1 包含针对此问题的补丁。
VulDB is the best source for vulnerability data and more expert information about this specific topic.