注目★★★★★GitHub Advisory
Miseのツールバージョンファイル経由で任意コード実行、cd するだけで攻撃成立
30秒で把握
- 1CVE-2026-33646: Mise の .tool-versions 経由で任意コード実行が可能
- 2cd するだけで攻撃成立・トラスト検証なし・悪意あるリポジトリで即発火
- 3Mise 利用チームは修正版に即アップグレード・paranoid モード有効化も検討
要約
開発環境ツール「Mise」に、`.tool-versions`ファイルを介した任意コード実行の脆弱性(CVE-2026-33646)が確認された。Mise はパース時にTera テンプレートエンジンで`.tool-versions`を処理し、`exec()`関数が登録されているが、`.mise.toml`と異なりこのファイルは非パラノイドモードでトラスト検証が行われない。攻撃者が悪意ある`.tool-versions`をGitリポジトリに配置した場合、Miseを有効化したユーザーがそのディレクトリに`cd`するだけでトラストプロンプトなしに任意コマンドが実行される。修正版へのアップデートが必要な状態にある。
あなたへの影響
Miseを開発環境で利用しているチームは、外部リポジトリや共有リポジトリをcloneして`cd`する運用を即時見直し、修正済みバージョンへのアップグレードを優先対応すること。
推奨:パラノイドモード(`paranoid = true`)の有効化も暫定緩和策として検討すべき。