Plattform
python
Komponente
foundationagents-metagpt
Behoben in
0.8.1
0.8.2
CVE-2026-5973 describes a Command Injection vulnerability discovered in MetaGPT, affecting versions 0.8.0 through 0.8.1. This flaw allows attackers to execute arbitrary operating system commands remotely, potentially leading to complete system compromise. The vulnerability resides within the getmimetype function of the metagpt/utils/common.py file. A public exploit is available, highlighting the urgency of addressing this issue.
Eine Command Injection-Schwachstelle wurde in MetaGPT FoundationAgents bis zur Version 0.8.1 identifiziert. Diese Schwachstelle befindet sich in der Funktion getmimetype der Datei metagpt/utils/common.py. Ein Remote-Angreifer kann diese Schwäche ausnutzen, indem er die Eingabe dieser Funktion manipuliert, wodurch er beliebige Betriebssystembefehle auf dem zugrunde liegenden System ausführen kann. Die Schwere der Schwachstelle wird gemäß CVSS mit 7.3 bewertet. Es ist besonders besorgniserregend, dass diese Schwachstelle bereits öffentlich bekannt gemacht wurde und das Projekt keinen Fix oder Patch bereitgestellt hat, was das Risiko einer aktiven Ausnutzung erhöht. Das Versäumnis des MetaGPT-Teams, auf eine frühzeitige Pull-Request-Anfrage zu reagieren, die auf das Problem hinwies, verschärft die Situation.
Die Schwachstelle wird durch Manipulation der Eingabe ausgenutzt, die der Funktion getmimetype bereitgestellt wird. Ein Angreifer kann eine speziell gestaltete Eingabe erstellen, die eingebettete Betriebssystembefehle enthält. Wenn die Funktion diese bösartige Eingabe verarbeitet, werden die eingebetteten Befehle ausgeführt, wodurch der Angreifer die Kontrolle über das System übernehmen kann. Die Tatsache, dass die Ausnutzung remote erfolgt und öffentlich bekannt gemacht wurde, bedeutet, dass Angreifer diese Schwachstelle problemlos ausnutzen können, ohne physischen Zugriff auf das System zu benötigen. Die öffentliche Bekanntmachung erhöht die Wahrscheinlichkeit automatisierter Angriffe erheblich.
Organizations and individuals deploying MetaGPT versions 0.8.0 and 0.8.1 are at risk. This includes developers using MetaGPT in their projects, as well as those relying on MetaGPT for automated tasks or integrations. Environments with limited network segmentation or inadequate input validation are particularly vulnerable.
• python / server:
import os
import subprocess
def check_mime_type(filename):
try:
result = subprocess.run(['file', filename], capture_output=True, text=True, check=True)
mime_type = result.stdout.split(';')[0].strip()
return mime_type
except subprocess.CalledProcessError as e:
print(f"Error: {e}")
return None
# Example usage (use with caution and controlled environment)
filename = input("Enter filename: ")
mime_type = check_mime_type(filename)
if mime_type:
print(f"MIME type: {mime_type}")
else:
print("Could not determine MIME type.")• linux / server:
journalctl -u metagpt -g 'command injection' # Check for suspicious command executionsdisclosure
Exploit-Status
EPSS
1.76% (83% Perzentil)
CISA SSVC
CVSS-Vektor
Da das MetaGPT-Team keinen offiziellen Fix bereitgestellt hat, besteht die unmittelbare Abschwächung darin, die Verwendung von MetaGPT FoundationAgents zu vermeiden, bis eine gepatchte Version veröffentlicht wird. Wenn die Nutzung unerlässlich ist, wird empfohlen, zusätzliche Sicherheitskontrollen zu implementieren, wie z. B. Netzwerkisolierung und die Beschränkung der Berechtigungen des Kontos, das zum Ausführen von MetaGPT verwendet wird. Die aktive Überwachung von Systemen auf Anzeichen einer Ausnutzung ist entscheidend. Erwägen Sie außerdem die Implementierung einer Web Application Firewall (WAF), um bösartigen Datenverkehr zu filtern. Die Sicherheits-Community sollte Druck auf das MetaGPT-Team ausüben, dieser kritischen Schwachstelle Priorität einzuräumen.
Actualice a una versión corregida de MetaGPT que solucione la vulnerabilidad de inyección de comandos del sistema operativo en la función get_mime_type. El proyecto FoundationAgents ha sido notificado, pero aún no ha proporcionado una actualización. Consulte las referencias proporcionadas para obtener más información y posibles soluciones alternativas.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es ist eine Schwachstelle, die es einem Angreifer ermöglicht, beliebige Befehle auf dem zugrunde liegenden Betriebssystem auszuführen.
Ein Angreifer könnte die Kontrolle über Ihr System übernehmen, vertrauliche Daten stehlen oder Abläufe stören.
Vermeiden Sie die Verwendung von MetaGPT FoundationAgents, bis eine gepatchte Version veröffentlicht wird. Implementieren Sie zusätzliche Sicherheitskontrollen, wenn die Nutzung unerlässlich ist.
Isolieren Sie das System sofort vom Netzwerk und suchen Sie die Hilfe eines Sicherheitsexperten.
Bleiben Sie über Sicherheitsankündigungen von MetaGPT und Nachrichtenquellen für die Sicherheit der Branche auf dem Laufenden.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.