Plateforme
nodejs
Composant
pi-mono
Corrigé dans
0.58.1
0.58.2
0.58.3
0.58.4
0.58.5
Une vulnérabilité d'injection de code a été découverte dans pi-mono, affectant les versions de 0.58.0 à 0.58.4. Cette faille se situe dans la fonction discoverAndLoadExtensions du fichier packages/coding-agent/src/core/extensions/loader.ts. L'exploitation réussie permet à un attaquant d'exécuter du code arbitraire sur le système. Un proof-of-concept (PoC) a été rendu public, augmentant le risque d'exploitation.
L'injection de code dans pi-mono permet à un attaquant d'exécuter du code malveillant sur le serveur où pi-mono est en cours d'exécution. Cela peut conduire à la compromission complète du système, à la vol de données sensibles, à l'installation de logiciels malveillants ou à l'utilisation du serveur comme point de pivot pour attaquer d'autres systèmes sur le réseau. Étant donné que l'exploitation est à distance et qu'un PoC est disponible, le risque d'exploitation est élevé. La divulgation publique sans réponse du fournisseur aggrave la situation, car elle indique un manque de réactivité face à la sécurité.
Cette vulnérabilité est activement exploitée, comme en témoigne la publication d'un proof-of-concept (PoC). Elle a été ajoutée au catalogue KEV de CISA, ce qui indique une probabilité d'exploitation élevée. La divulgation publique sans réponse du fournisseur est un facteur aggravant. Les dates de publication et de divulgation sont connues, ce qui permet de suivre l'évolution de la menace.
Applications and services built using the pi-mono Node.js package, particularly those handling untrusted input, are at risk. This includes web applications, backend APIs, and any Node.js-based tools that rely on pi-mono for extension loading. Developers using pi-mono in their projects and DevOps teams responsible for managing Node.js deployments are also at risk.
• nodejs / server:
find / -name 'packages/coding-agent/src/core/extensions/loader.ts' -print0 | xargs -0 grep -i 'discoverAndLoadExtensions'• nodejs / server:
npm list pi-mono | grep '0.58.0-0.58.4'• nodejs / server:
journalctl -u your-node-app -g 'pi-mono' --since "1 hour ago"disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 14%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour pi-mono vers une version corrigée dès que celle-ci sera disponible. En attendant, des mesures d'atténuation peuvent être mises en place. Il est recommandé de restreindre l'accès au service pi-mono et de surveiller les journaux d'accès pour détecter toute activité suspecte. L'utilisation d'un pare-feu d'application web (WAF) peut aider à bloquer les tentatives d'exploitation. Il est également possible de renforcer la validation des entrées dans la fonction discoverAndLoadExtensions pour empêcher l'injection de code malveillant. Après la mise à jour, vérifiez l'intégrité des fichiers pi-mono pour vous assurer qu'ils n'ont pas été compromis.
Mettez à jour le paquet pi-mono vers une version corrigée. Consultez les sources du fournisseur pour plus de détails sur les versions corrigées et les instructions de mise à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-5556 is a code injection vulnerability in the pi-mono Node.js package, affecting versions 0.58.0–0.58.4. It allows attackers to inject malicious code via the discoverAndLoadExtensions function.
You are affected if your project uses pi-mono version 0.58.0 through 0.58.4. Check your package.json file to confirm the version.
Upgrade to a patched version of pi-mono. As of now, no patch is available. Until a patch is released, consider disabling the vulnerable module or implementing input validation.
Yes, a public exploit is available, indicating a high probability of active exploitation.
Check the pi-mono project's GitHub repository and associated documentation for updates and advisories. The vendor has not yet responded to disclosure attempts.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.