Plateforme
python
Composant
foundationagents-metagpt
Corrigé dans
0.8.1
0.8.2
La vulnérabilité CVE-2026-5973 affecte MetaGPT, une plateforme d'IA. Elle se manifeste par une faille de type 'Command Injection' dans la fonction getmimetype. Un attaquant peut exploiter cette faille pour exécuter des commandes arbitraires sur le système. Elle touche les versions de MetaGPT comprises entre 0.8.0 et 0.8.1. Aucune correction officielle n'est disponible pour le moment.
Une vulnérabilité d'injection de commandes système (OS) a été identifiée dans MetaGPT FoundationAgents jusqu'à la version 0.8.1. Cette vulnérabilité se trouve dans la fonction getmimetype du fichier metagpt/utils/common.py. Un attaquant distant peut exploiter cette faille en manipulant l'entrée de cette fonction, ce qui permet d'exécuter des commandes système arbitraires sur le système sous-jacent. La gravité de la vulnérabilité est notée 7.3 selon le CVSS. Il est particulièrement préoccupant que cette vulnérabilité ait déjà été divulguée publiquement et que le projet n'ait pas fourni de correctif, ce qui augmente le risque d'exploitation active. Le manque de réponse de l'équipe MetaGPT à une demande de pull request précoce signalant le problème aggrave la situation.
La vulnérabilité est exploitée par la manipulation de l'entrée fournie à la fonction getmimetype. Un attaquant peut créer une entrée spécialement conçue contenant des commandes système intégrées. Lorsque la fonction traite cette entrée malveillante, elle exécute les commandes intégrées, ce qui permet à l'attaquant de prendre le contrôle du système. Le fait que l'exploitation soit distante et ait été divulguée publiquement signifie que les attaquants peuvent facilement exploiter cette vulnérabilité sans avoir besoin d'un accès physique au système. La divulgation publique augmente considérablement la probabilité d'attaques automatisées.
Organizations and individuals deploying MetaGPT versions 0.8.0 and 0.8.1 are at risk. This includes developers using MetaGPT in their projects, as well as those relying on MetaGPT for automated tasks or integrations. Environments with limited network segmentation or inadequate input validation are particularly vulnerable.
• python / server:
import os
import subprocess
def check_mime_type(filename):
try:
result = subprocess.run(['file', filename], capture_output=True, text=True, check=True)
mime_type = result.stdout.split(';')[0].strip()
return mime_type
except subprocess.CalledProcessError as e:
print(f"Error: {e}")
return None
# Example usage (use with caution and controlled environment)
filename = input("Enter filename: ")
mime_type = check_mime_type(filename)
if mime_type:
print(f"MIME type: {mime_type}")
else:
print("Could not determine MIME type.")• linux / server:
journalctl -u metagpt -g 'command injection' # Check for suspicious command executionsdisclosure
Statut de l'Exploit
EPSS
1.76% (percentile 83%)
CISA SSVC
Vecteur CVSS
Étant donné qu'aucun correctif officiel n'a été fourni par l'équipe MetaGPT, l'atténuation immédiate consiste à éviter d'utiliser MetaGPT FoundationAgents jusqu'à ce qu'une version corrigée soit publiée. Si l'utilisation est essentielle, il est recommandé de mettre en œuvre des contrôles de sécurité supplémentaires, tels que l'isolement du réseau et la limitation des privilèges du compte utilisé pour exécuter MetaGPT. Surveiller activement les systèmes à la recherche de signes d'exploitation est crucial. De plus, envisagez de mettre en œuvre un pare-feu applicatif web (WAF) pour filtrer le trafic malveillant. La communauté de sécurité devrait faire pression sur l'équipe MetaGPT pour qu'elle accorde la priorité à la résolution de cette vulnérabilité critique.
Actualice a una versión corregida de MetaGPT que solucione la vulnerabilidad de inyección de comandos del sistema operativo en la función get_mime_type. El proyecto FoundationAgents ha sido notificado, pero aún no ha proporcionado una actualización. Consulte las referencias proporcionadas para obtener más información y posibles soluciones alternativas.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une vulnérabilité qui permet à un attaquant d'exécuter des commandes arbitraires sur le système d'exploitation sous-jacent.
Un attaquant pourrait prendre le contrôle de votre système, voler des données confidentielles ou perturber les opérations.
Évitez d'utiliser MetaGPT FoundationAgents jusqu'à ce qu'une version corrigée soit publiée. Mettez en œuvre des contrôles de sécurité supplémentaires si l'utilisation est essentielle.
Isolez immédiatement le système du réseau et demandez l'aide d'un professionnel de la sécurité.
Restez informé des annonces de sécurité de MetaGPT et des sources d'actualités de sécurité de l'industrie.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.