Plateforme
python
Composant
foundationagents
Corrigé dans
0.8.1
0.8.2
Une vulnérabilité d'injection de code a été découverte dans FoundationAgents MetaGPT, affectant les versions 0.8.0 et 0.8.1. Cette faille exploite la fonction check_solution du composant HumanEvalBenchmark/MBPPBenchmark, permettant à un attaquant d'injecter du code malveillant. L'exploitation peut être initiée à distance et un exploit public est désormais disponible, ce qui augmente le risque d'attaques.
L'injection de code dans FoundationAgents MetaGPT permet à un attaquant d'exécuter du code arbitraire sur le système où le logiciel est en cours d'exécution. Cela pourrait inclure le vol de données sensibles, l'installation de logiciels malveillants, la modification de fichiers système ou même le contrôle total du système. Étant donné que l'exploitation peut être initiée à distance, l'attaquant n'a pas besoin d'un accès physique au système cible. La disponibilité d'un exploit public signifie que des attaquants peuvent rapidement et facilement exploiter cette vulnérabilité, ce qui augmente considérablement le risque d'attaques.
Un exploit public est disponible, ce qui indique une probabilité d'exploitation élevée (EPSS score probablement élevé). La vulnérabilité a été signalée via une pull request, mais le projet n'a pas encore réagi, ce qui augmente le risque d'exploitation non corrigée. La publication de la CVE a eu lieu le 2026-04-09.
Organizations and individuals utilizing FoundationAgents MetaGPT versions 0.8.0 through 0.8.1, particularly those deploying it in environments handling sensitive data or critical infrastructure, are at immediate risk. Those relying on MetaGPT for automated code evaluation or testing are especially vulnerable.
• python / server:
import os
import subprocess
# Check for the vulnerable function
with open('/path/to/your/foundationagents/HumanEvalBenchmark/MBPPBenchmark.py', 'r') as f:
if 'check_solution' in f.read():
print('Vulnerable function detected!')• python / supply-chain:
import subprocess
result = subprocess.run(['pip', 'show', 'foundationagents'], capture_output=True, text=True)
if 'Version: 0.8.0' in result.stdout or 'Version: 0.8.1' in result.stdout:
print('FoundationAgents version is vulnerable!')disclosure
poc
Statut de l'Exploit
EPSS
0.07% (percentile 21%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à jour FoundationAgents MetaGPT vers une version corrigée dès que possible. En attendant, des mesures d'atténuation peuvent être mises en place. Il est crucial de restreindre l'accès à la fonction check_solution et de valider rigoureusement toutes les entrées avant de les utiliser. Surveillez attentivement les journaux système pour détecter toute activité suspecte. Si possible, isolez les instances de MetaGPT affectées du reste du réseau pour limiter l'impact potentiel d'une attaque. Une analyse du code source pour identifier et corriger les vulnérabilités potentielles est également recommandée.
La vulnérabilité d'injection de code dans la fonction `check_solution` de MetaGPT peut être atténuée en mettant à jour vers une version corrigée. Étant donné que le projet n'a pas répondu, il est recommandé d'examiner le code source affecté et d'appliquer manuellement des correctifs de sécurité, ou d'éviter l'utilisation de la fonction vulnérable jusqu'à ce qu'une mise à jour officielle soit publiée.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-5970 is a code injection vulnerability affecting FoundationAgents MetaGPT versions 0.8.0–0.8.1. The check_solution function allows remote attackers to inject code, potentially leading to system compromise.
If you are using FoundationAgents MetaGPT versions 0.8.0 or 0.8.1, you are potentially affected by this vulnerability. Immediate action is required.
The recommended fix is to upgrade to a patched version of FoundationAgents MetaGPT. As of now, no patch is available. Implement input validation as a temporary mitigation.
Yes, a public exploit for CVE-2026-5970 is available, indicating active exploitation is likely occurring.
Check the FoundationAgents project repository and website for updates and advisories regarding CVE-2026-5970. As of this writing, no official advisory has been published.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.