Vulnerabilidad en Poetry (CVE-2022-36070)

Poetry es un administrador de dependencias para Python. Para manejar las dependencias que vienen de un repositorio Git, Poetry ejecuta varios comandos, por ejemplo "git config". Estos comandos son ejecutados usando el nombre del ejecutable y no su ruta absoluta. Esto puede conllevar a una ejecución de código no confiable debido a la forma en que Windows resuelve los nombres de los ejecutables a las rutas. A diferencia de los sistemas operativos basados en Linux, Windows busca primero el ejecutable en el directorio actual y después busca en las rutas definidas en la variable de entorno "PATH". Esta vulnerabilidad puede conllevar a una ejecución de código arbitrario, lo que conllevaría a una toma de control del sistema. Si es explotado en un desarrollador, el atacante podría robar credenciales o persistir en su acceso. Si la explotación ocurre en un servidor, los atacantes podrían usar su acceso para atacar otros sistemas internos. Dado que esta vulnerabilidad requiere una buena cantidad de interacción con el usuario, no es tan peligrosa como una explotable de forma remota. Sin embargo, sigue poniendo en riesgo a los desarrolladores cuando tratan con archivos no confiables de una manera que creen segura. La víctima tampoco podría protegerse examinando cualquier archivo de configuración de Git o Poetry que pudiera estar presente en el directorio, porque el comportamiento no está documentado. Las versiones 1.1.9 y 1.2.0b1 contienen parches para este problema