Plateforme
python
Composant
mesa
Corrigé dans
3.5.1
Mesa est une bibliothèque Python open source pour la modélisation basée sur des agents, simulant des systèmes complexes et explorant les comportements émergents. Une vulnérabilité a été découverte dans les versions 3.5.0 et antérieures, où le checkout de code non fiable dans le workflow benchmarks.yml peut entraîner une exécution de code dans un runner privilégié. Cette faille a été corrigée via le commit c35b8cd, et il est recommandé de mettre à jour Mesa vers la dernière version disponible.
Cette vulnérabilité permet à un attaquant d'exécuter du code arbitraire dans le contexte du runner privilégié utilisé par Mesa. Cela signifie qu'un attaquant pourrait potentiellement compromettre l'ensemble du système sur lequel Mesa est exécuté, en obtenant un accès non autorisé aux données sensibles et aux ressources système. L'attaquant pourrait également utiliser cette vulnérabilité pour lancer d'autres attaques, telles que l'installation de logiciels malveillants ou le vol de données confidentielles. Le risque est particulièrement élevé si le runner privilégié a accès à des informations sensibles ou à des systèmes critiques.
Cette vulnérabilité a été rendue publique le 6 mars 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de présence sur le KEV de CISA. L'existence d'un commit de correction suggère que la vulnérabilité a été découverte et corrigée rapidement par les développeurs de Mesa. Aucun proof-of-concept public n'a été observé.
Organizations and individuals utilizing Mesa for agent-based modeling, particularly those running simulations in environments with limited access controls or where the runner environment has elevated privileges. Researchers and developers who have customized the benchmarks.yml workflow are also at increased risk.
• python / supply-chain:
import os
import subprocess
# Check Mesa version
result = subprocess.run(['pip', 'show', 'mesa'], capture_output=True, text=True)
if result.returncode == 0:
mesa_version = result.stdout.split('Version: ')[1].split('\n')[0]
if float(mesa_version) <= 3.5:
print("Mesa version is vulnerable.")
else:
print("Mesa is not installed.")• generic web: Check for unusual files or modifications within the Mesa installation directory, particularly related to the benchmarks.yml workflow.
disclosure
Statut de l'Exploit
EPSS
0.12% (percentile 31%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Mesa vers une version corrigée (c35b8cd ou ultérieure). Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement le workflow benchmarks.yml ou de restreindre l'accès au runner privilégié. Il est également conseillé de surveiller attentivement les logs du système pour détecter toute activité suspecte. Après la mise à jour, vérifiez que le workflow benchmarks.yml ne peut plus être exploité en tentant un checkout de code non fiable et en surveillant l'exécution de code inattendu.
Mettez à jour la bibliothèque Mesa à une version ultérieure au commit c35b8cd. Cela résoudra la vulnérabilité d'exécution de code lors de l'extraction de code non fiable dans le workflow `benchmarks.yml`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-29075 is a remote code execution vulnerability affecting Mesa versions up to 3.5.0. It allows attackers to execute arbitrary code within a privileged runner due to insecure handling of untrusted code in the benchmarks.yml workflow.
You are affected if you are using Mesa version 3.5.0 or earlier. Check your Mesa version using pip show mesa and upgrade if necessary.
Upgrade to a patched version of Mesa containing commit c35b8cd. If immediate upgrade is not possible, disable the benchmarks.yml workflow or restrict runner access.
There are currently no confirmed reports of active exploitation, but the vulnerability's RCE nature warrants prompt remediation.
Refer to the Mesa project's official website and GitHub repository for updates and advisories related to CVE-2026-29075.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.