Plateforme
python
Composant
scrapegraph-ai
Corrigé dans
1.0.1
1.1.1
1.2.1
1.3.1
1.4.1
1.5.1
1.6.1
1.7.1
1.8.1
1.9.1
1.10.1
1.11.1
1.12.1
1.13.1
1.14.1
1.15.1
1.16.1
1.17.1
1.18.1
1.19.1
1.20.1
1.21.1
1.22.1
1.23.1
1.24.1
1.25.1
1.26.1
1.27.1
1.28.1
1.29.1
1.30.1
1.31.1
1.32.1
1.33.1
1.34.1
1.35.1
1.36.1
1.37.1
1.38.1
1.39.1
1.40.1
1.41.1
1.42.1
1.43.1
1.44.1
1.45.1
1.46.1
1.47.1
1.48.1
1.49.1
1.50.1
1.51.1
1.52.1
1.53.1
1.54.1
1.55.1
1.56.1
1.57.1
1.58.1
1.59.1
1.60.1
1.61.1
1.62.1
1.63.1
1.64.1
1.65.1
1.66.1
1.67.1
1.68.1
1.69.1
1.70.1
1.71.1
1.72.1
1.73.1
1.74.1
CVE-2026-5532 décrit une vulnérabilité d'injection de commandes affectant ScrapeGraphAI, spécifiquement la fonction createsandboxandexecute du fichier scrapegraphai/nodes/generatecode_node.py. Cette faille permet à un attaquant d'exécuter des commandes arbitraires sur le système. Les versions concernées sont les versions de 1.0.0 à 1.74.0. Une version corrigée, 1.10.0, est désormais disponible.
La vulnérabilité CVE-2026-5532 affecte ScrapeGraphAI versions jusqu'à 1.74.0, présentant une vulnérabilité d'injection de commandes du système d'exploitation (OS). Cette faille réside dans la fonction createsandboxandexecute du fichier scrapegraphai/nodes/generatecode_node.py, spécifiquement dans le composant GenerateCodeNode. Un attaquant distant peut exploiter cette vulnérabilité pour exécuter des commandes arbitraires sur le système sous-jacent, compromettant potentiellement la confidentialité, l'intégrité et la disponibilité des données et des ressources. La publication d'un exploit fonctionnel aggrave la situation, augmentant le risque d'attaques. Le manque de réponse du fournisseur entrave l'obtention d'informations officielles concernant la gravité et l'impact réel de la vulnérabilité.
La vulnérabilité se situe dans la fonction createsandboxand_execute, utilisée pour exécuter le code généré. Un attaquant peut manipuler l'entrée de cette fonction pour injecter des commandes du système d'exploitation qui seront exécutées avec les privilèges du processus ScrapeGraphAI. La nature distante de l'exploitation signifie qu'un attaquant n'a pas besoin d'un accès physique au système pour le compromettre. La publication de l'exploit facilite l'exploitation par des attaquants ayant différents niveaux de compétences techniques. Le manque de réponse du fournisseur indique un abandon potentiel du projet, compliquant encore la gestion de la vulnérabilité.
Organizations utilizing ScrapeGraphAI in production environments, particularly those with internet-facing deployments, are at risk. Systems running older versions (1.0.0–1.74.0) are especially vulnerable. Environments where ScrapeGraphAI is used to process untrusted data are at higher risk.
• python / server:
import os
import subprocess
def check_scrapegraphai_vulnerability():
try:
# Attempt to trigger the vulnerable function with malicious input
result = subprocess.run(['scrapegraph-ai', 'generate_code_node', '; ls -la'], capture_output=True, text=True, timeout=5)
if 'ls -la' in result.stdout:
print("CVE-2026-5532 detected: Command injection possible!")
else:
print("CVE-2026-5532 not detected.")
except Exception as e:
print(f"Error checking vulnerability: {e}")
check_scrapegraphai_vulnerability()• linux / server:
ps aux | grep scrapegraph-ai | grep -q 'create_sandbox_and_execute' && echo "CVE-2026-5532 potentially present: Check for suspicious commands in scrapegraph-ai processes" || echo "CVE-2026-5532 not detected."disclosure
poc
patch
Statut de l'Exploit
EPSS
0.86% (percentile 75%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate recommandée est de mettre à jour ScrapeGraphAI à la version 1.10.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas possible immédiatement, envisagez de mettre en œuvre des mesures de sécurité supplémentaires, telles que la restriction de l'accès à l'application aux seuls utilisateurs autorisés, la mise en place d'un pare-feu pour contrôler le trafic réseau et la surveillance de l'activité du système à la recherche de signes d'exploitation. De plus, examinez et renforcez le code source pour éviter de futures vulnérabilités d'injection de commandes. Compte tenu du manque de réponse du fournisseur, les utilisateurs doivent effectuer leurs propres évaluations des risques et appliquer les mesures de sécurité les plus appropriées à leur environnement.
Actualice a la versión 1.10.0 o superior para mitigar la vulnerabilidad de inyección de comandos del sistema operativo. Revise el código fuente para identificar y corregir la causa raíz de la vulnerabilidad, asegurándose de que la entrada del usuario se valide y escape correctamente antes de ser utilizada en comandos del sistema operativo. Implemente medidas de seguridad adicionales, como el uso de un entorno de ejecución aislado, para limitar el impacto potencial de la vulnerabilidad.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Cela signifie qu'un attaquant peut exécuter des commandes arbitraires sur le serveur où ScrapeGraphAI s'exécute, comme s'il était un utilisateur légitime.
Mettez en œuvre des mesures de sécurité supplémentaires telles que des pare-feu, des contrôles d'accès et une surveillance de l'activité.
Le manque de réponse est préoccupant et suggère des problèmes potentiels avec la maintenance du projet.
Vérifiez la version de ScrapeGraphAI que vous utilisez. Si elle est antérieure à la 1.10.0, vous êtes vulnérable.
Consultez la base de données des vulnérabilités CVE (Common Vulnerabilities and Exposures) pour CVE-2026-5532.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.