Plataforma
python
Componente
mesa
Corregido en
3.5.1
CVE-2026-29075 afecta a Mesa, una biblioteca Python de código abierto para modelado basado en agentes. Una vulnerabilidad en versiones 3.5.0 y anteriores permite la ejecución de código en el runner privilegiado al comprobar código no confiable en el flujo de trabajo benchmarks.yml. La vulnerabilidad ha sido parcheada y se recomienda actualizar a la versión corregida para mitigar el riesgo. La publicación inicial de la vulnerabilidad fue el 6 de marzo de 2026.
Esta vulnerabilidad permite a un atacante, mediante la manipulación del flujo de trabajo benchmarks.yml, inyectar y ejecutar código malicioso en el entorno del runner privilegiado de Mesa. Esto podría resultar en la toma de control completa del sistema donde se ejecuta Mesa, permitiendo al atacante acceder a datos sensibles, modificar la configuración del sistema o incluso utilizar el sistema comprometido como punto de partida para ataques a otros sistemas en la red. La ejecución en un runner privilegiado amplía significativamente el alcance del impacto, ya que el atacante podría obtener acceso a recursos y datos que de otro modo estarían protegidos. La naturaleza del modelado basado en agentes implica que los datos utilizados en las simulaciones podrían ser sensibles, lo que aumenta el valor de la información para un atacante.
Actualmente no se dispone de información pública sobre la explotación activa de esta vulnerabilidad. La vulnerabilidad se agregó al KEV (Know Exploited Vulnerabilities) catalog de CISA. La disponibilidad de un proof-of-concept (PoC) público podría aumentar la probabilidad de explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con Mesa.
Organizations and individuals utilizing Mesa for agent-based modeling, particularly those running simulations in environments with limited access controls or where the runner environment has elevated privileges. Researchers and developers who have customized the benchmarks.yml workflow are also at increased risk.
• python / supply-chain:
import os
import subprocess
# Check Mesa version
result = subprocess.run(['pip', 'show', 'mesa'], capture_output=True, text=True)
if result.returncode == 0:
mesa_version = result.stdout.split('Version: ')[1].split('\n')[0]
if float(mesa_version) <= 3.5:
print("Mesa version is vulnerable.")
else:
print("Mesa is not installed.")• generic web: Check for unusual files or modifications within the Mesa installation directory, particularly related to the benchmarks.yml workflow.
disclosure
Estado del Exploit
EPSS
0.12% (31% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a una versión de Mesa que incluya el parche (commit c35b8cd). Si la actualización inmediata no es posible, se recomienda implementar controles de acceso estrictos al entorno del runner privilegiado, limitando los permisos y el acceso a recursos sensibles. Además, se debe revisar y auditar el flujo de trabajo benchmarks.yml para asegurar que solo se procese código de fuentes confiables. Considere la posibilidad de utilizar un entorno de ejecución aislado (sandbox) para el flujo de trabajo benchmarks.yml, limitando el impacto potencial de la ejecución de código malicioso. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando la integridad de los archivos relacionados con el flujo de trabajo benchmarks.yml.
Actualice la biblioteca Mesa a una versión posterior al commit c35b8cd. Esto solucionará la vulnerabilidad de ejecución de código al extraer código no confiable en el flujo de trabajo `benchmarks.yml`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-29075 is a remote code execution vulnerability affecting Mesa versions up to 3.5.0. It allows attackers to execute arbitrary code within a privileged runner due to insecure handling of untrusted code in the benchmarks.yml workflow.
You are affected if you are using Mesa version 3.5.0 or earlier. Check your Mesa version using pip show mesa and upgrade if necessary.
Upgrade to a patched version of Mesa containing commit c35b8cd. If immediate upgrade is not possible, disable the benchmarks.yml workflow or restrict runner access.
There are currently no confirmed reports of active exploitation, but the vulnerability's RCE nature warrants prompt remediation.
Refer to the Mesa project's official website and GitHub repository for updates and advisories related to CVE-2026-29075.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.