Plateforme
python
Composant
magic-wormhole
Corrigé dans
0.21.1
0.23.0
La vulnérabilité CVE-2026-32116 affecte magic-wormhole, un outil de transfert de fichiers sécurisé, dans les versions inférieures ou égales à 0.22.0. Elle permet à un attaquant de compromettre le système du destinataire en écrasant des fichiers sensibles, tels que ~/.ssh/authorized_keys et .bashrc, lors de la réception d'un fichier via la commande wormhole receive. La correction a été intégrée dans la version 0.23.0.
Cette vulnérabilité est particulièrement insidieuse car elle nécessite que l'attaquant soit le sender du fichier, et non un tiers. Le protocole wormhole est conçu pour isoler les serveurs de transit, les excluant de cette attaque. Un attaquant malveillant peut ainsi envoyer un fichier spécialement conçu pour écraser les fichiers de configuration critiques du destinataire. L'écrasement de ~/.ssh/authorized_keys permettrait à l'attaquant d'accéder au système du destinataire sans mot de passe, tandis que la modification de .bashrc pourrait permettre l'exécution de commandes arbitraires à chaque ouverture d'un nouveau shell. L'impact est donc la compromission complète du système du destinataire.
Cette vulnérabilité a été divulguée publiquement le 13 mars 2026. Bien qu'aucune preuve d'exploitation active n'ait été rapportée à ce jour, la simplicité de l'attaque et la nature sensible des fichiers ciblés suggèrent un risque potentiel. La vulnérabilité n'est pas répertoriée sur le KEV de CISA au moment de la rédaction, et aucune preuve publique de PoC n'est disponible, mais la nature de la vulnérabilité rend une exploitation potentielle probable.
Users who rely on magic-wormhole for secure file transfer, particularly those using it to transfer sensitive data or manage SSH keys, are at risk. Systems with legacy configurations or those running older versions of Python where upgrading is difficult are also more vulnerable. Shared hosting environments where multiple users share the same system and SSH keys could experience widespread compromise if exploited.
• python / system:
python3 -c 'import magic_wormhole; print(magic_wormhole.__version__)'• python / system: Check for unusual file modifications in ~/.ssh/authorized_keys and .bashrc using git diff or similar version control tools.
• python / system: Monitor process execution for magic_wormhole with unusual command-line arguments.
• python / system: Review system logs for errors or warnings related to file overwrites during wormhole receive operations.
disclosure
Statut de l'Exploit
EPSS
0.08% (percentile 25%)
CISA SSVC
La mitigation principale consiste à mettre à jour magic-wormhole vers la version 0.23.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour est problématique, il est possible de désactiver temporairement la fonctionnalité wormhole receive en modifiant le script de réception pour qu'il refuse les fichiers provenant de sources non fiables. En attendant la mise à jour, il est fortement recommandé de surveiller attentivement les fichiers de configuration sensibles et de limiter l'accès aux fichiers authorized_keys et .bashrc. Après la mise à jour, vérifiez que la fonctionnalité wormhole receive fonctionne correctement et qu'aucun fichier n'a été modifié de manière inattendue.
Mettez à jour Magic Wormhole à la version 0.23.0 ou supérieure. Cela résoudra la vulnérabilité qui permet à un expéditeur malveillant d'écraser des fichiers locaux arbitraires. Vous pouvez mettre à jour en utilisant pip : `pip install --upgrade magic-wormhole`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32116 is a high-severity vulnerability in magic-wormhole versions up to 0.22.0 that allows a malicious sender to overwrite critical local files during a file transfer, potentially compromising the receiver's system.
You are affected if you are using magic-wormhole versions 0.22.0 or earlier. Upgrade to 0.23.0 or later to resolve the issue.
Upgrade magic-wormhole to version 0.23.0 or later. This resolves the file overwrite vulnerability.
There is currently no evidence of active exploitation, but the potential for exploitation exists if a proof-of-concept is released.
Refer to the magic-wormhole project's official release notes and security advisories on their GitHub repository for the most up-to-date information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.