Plataforma
python
Componente
metagpt
Corregido en
0.8.2
La vulnerabilidad CVE-2026-0761 es una ejecución remota de código (RCE) que afecta a las versiones 0.8.1–0.8.1 de MetaGPT. Esta falla permite a atacantes sin autenticación ejecutar código arbitrario en sistemas vulnerables. La vulnerabilidad se encuentra en la función actionoutputstrto_mapping y se debe a la falta de validación de la entrada del usuario antes de su ejecución como código Python. Se ha lanzado una actualización a la versión 0.8.2 para solucionar este problema.
Un atacante puede explotar esta vulnerabilidad para ejecutar código malicioso en el contexto de la cuenta de servicio de MetaGPT. Esto podría resultar en la toma de control completa del sistema afectado, el robo de datos confidenciales, la instalación de malware o el uso del sistema como punto de apoyo para atacar otros sistemas en la red. La falta de autenticación requerida para la explotación amplifica significativamente el riesgo, ya que cualquier atacante externo puede intentar explotar la vulnerabilidad. La ejecución de código arbitrario permite a los atacantes realizar cualquier acción que pueda realizar el usuario con los permisos de la cuenta de servicio, lo que representa un riesgo significativo para la confidencialidad, integridad y disponibilidad de los sistemas afectados.
Esta vulnerabilidad fue reportada a través de ZDI-CAN-28. La severidad del CVSS es 9.8 (CRÍTICO), lo que indica una alta probabilidad de explotación. No se han reportado campañas de explotación activas conocidas al momento de la publicación, pero la falta de autenticación requerida para la explotación aumenta el riesgo de que sea explotada en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad. La vulnerabilidad fue publicada el 23 de enero de 2026.
Organizations deploying MetaGPT in production environments, particularly those with limited network segmentation or inadequate access controls, are at significant risk. Systems running MetaGPT as a service account with elevated privileges are especially vulnerable, as the attacker would inherit those privileges upon successful exploitation.
• python / server:
import psutil
for proc in psutil.process_iter(['pid', 'name', 'cmdline']):
if 'metagpt' in proc.info['name'].lower():
print(f'MetaGPT process found: PID={proc.info[0]}, Command={proc.info[2]}')• linux / server:
journalctl -u metagpt | grep -i "error" -i "exception"• generic web:
curl -I http://<target>/metagpt/actionoutput_str_to_mapping # Check for unexpected responses or error messagesdisclosure
patch
Estado del Exploit
EPSS
2.59% (85% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-0761 es actualizar MetaGPT a la versión 0.8.2 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible, considere implementar medidas de seguridad adicionales, como restringir el acceso a la red a MetaGPT, implementar un firewall de aplicaciones web (WAF) para filtrar tráfico malicioso o utilizar un proxy para inspeccionar el tráfico entrante y saliente. Monitorear los registros del sistema en busca de actividad sospechosa relacionada con la función actionoutputstrtomapping también puede ayudar a detectar posibles intentos de explotación. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que la función actionoutputstrtomapping ahora valida correctamente la entrada del usuario.
Actualice la biblioteca MetaGPT a una versión posterior a la 0.8.1 que corrija la vulnerabilidad de inyección de código. Consulte las notas de la versión o el registro de cambios del proyecto para obtener más detalles sobre la corrección. Si no hay una versión corregida disponible, considere deshabilitar o eliminar la función actionoutput_str_to_mapping hasta que se publique una actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-0761 is a critical RCE vulnerability affecting MetaGPT versions 0.8.1–0.8.1. It allows attackers to execute arbitrary code due to insufficient input validation.
If you are running MetaGPT version 0.8.1, you are vulnerable to this RCE vulnerability. Upgrade to version 0.8.2 or later to mitigate the risk.
The recommended fix is to upgrade MetaGPT to version 0.8.2 or later. If upgrading is not immediately possible, consider temporary workarounds like restricting network access.
While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a high probability of future attacks. Monitor security advisories.
Refer to the MetaGPT project's official website and security advisories for the latest information and updates regarding CVE-2026-0761.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.