Plateforme
nodejs
Composant
pi-mono
Corrigé dans
0.58.1
0.58.2
0.58.3
0.58.4
0.58.5
Une vulnérabilité d'authentification bypass a été découverte dans pi-mono, affectant les versions de 0.58.0 à 0.58.4. Cette faille exploite un traitement incorrect du fichier packages/mom/src/slack.ts du composant pi-mom Slack Bot, permettant une contournement de l'authentification via un canal alternatif. L'exploitation peut être réalisée à distance et un proof-of-concept public est disponible.
Cette vulnérabilité permet à un attaquant de contourner le mécanisme d'authentification de pi-mono Slack Bot, lui offrant un accès non autorisé aux fonctionnalités et aux données associées. L'attaquant peut potentiellement accéder à des informations sensibles, modifier des configurations ou même exécuter des actions en tant qu'utilisateur authentifié. La possibilité d'exploitation à distance augmente considérablement la surface d'attaque et le risque d'impact. L'existence d'un proof-of-concept public rend l'exploitation plus accessible et augmente la probabilité d'attaques ciblées.
Cette vulnérabilité est publique et un proof-of-concept est disponible, ce qui augmente le risque d'exploitation. Elle a été publiée le 2026-04-05. Bien qu'aucune exploitation active confirmée n'ait été signalée à ce jour, la disponibilité d'un PoC suggère une probabilité d'exploitation élevée. Le manque de réponse du fournisseur rend la situation plus préoccupante.
Organizations using pi-mono in their Slack bot integrations, particularly those relying on the default authentication mechanisms, are at significant risk. Shared hosting environments where multiple users share the same pi-mono instance are also particularly vulnerable, as an attacker could potentially compromise the bot and gain access to other users' data.
• nodejs: Monitor process execution for suspicious activity related to slack.ts.
Get-Process -Name 'pi-mono' | Select-Object -ExpandProperty Path• nodejs: Check for unauthorized modifications to the packages/mom/src/slack.ts file using file integrity monitoring tools.
• generic web: Monitor access logs for requests targeting the vulnerable endpoint.
grep 'slack.ts' /var/log/nginx/access.logdisclosure
Statut de l'Exploit
EPSS
0.06% (percentile 18%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour pi-mono vers une version corrigée, dès qu'elle sera disponible. En attendant, il est recommandé de mettre en place des règles de Web Application Firewall (WAF) pour bloquer les requêtes suspectes ciblant le fichier slack.ts. Surveillez attentivement les logs d'accès et d'erreur pour détecter toute activité inhabituelle. Si la mise à jour n'est pas possible, restreindre l'accès au fichier slack.ts via des contrôles d'accès au niveau du système de fichiers peut aider à limiter l'impact.
Mettez à jour le paquet pi-mono vers une version corrigée. La description du CVE indique que la vulnérabilité se trouve dans les versions de 0.58.0 à 0.58.4, il est donc recommandé de mettre à jour vers la dernière version disponible pour atténuer le risque de contournement d'authentification.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-5557 décrit une vulnérabilité d'authentification bypass dans la bibliothèque pi-mono, permettant un accès non autorisé via la manipulation du fichier slack.ts.
Si vous utilisez pi-mono versions 0.58.0 à 0.58.4, vous êtes potentiellement affecté par cette vulnérabilité. Vérifiez immédiatement votre version.
La correction consiste à mettre à jour pi-mono vers une version corrigée. En attendant, appliquez des règles WAF pour bloquer les requêtes suspectes.
Bien qu'aucune exploitation active confirmée n'ait été signalée, la disponibilité d'un proof-of-concept public indique un risque d'exploitation élevé.
Malheureusement, le fournisseur n'a pas encore publié d'avis officiel. Surveillez les canaux de communication de badlogic pour d'éventuelles mises à jour.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.