Plateforme
python
Composant
metagpt
Corrigé dans
0.8.1
0.8.2
0.8.3
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans MetaGPT, affectant les versions jusqu'à 0.8.2. Cette faille permet à un attaquant d’exécuter des actions non autorisées au nom d’un utilisateur authentifié, compromettant potentiellement l’intégrité des données et la sécurité du système. La vulnérabilité se situe dans la fonction evaluateCode du fichier metagpt/environment/minecraft/mineflayer/index.js de l'API HTTP Mineflayer. Une exploitation publique est disponible.
L'exploitation réussie de cette vulnérabilité CSRF permet à un attaquant de réaliser des actions non autorisées sur le système MetaGPT, telles que la modification de configurations, l'exécution de commandes arbitraires ou l'accès à des données sensibles. L'attaquant peut exploiter cette faille en incitant un utilisateur authentifié à cliquer sur un lien malveillant ou à visiter un site web compromis. Le risque est accru si MetaGPT est intégré à d'autres systèmes ou applications, car une attaque CSRF pourrait servir de point d'entrée pour des attaques plus complexes. L'absence de réponse du projet aggrave la situation, laissant les utilisateurs exposés.
Cette vulnérabilité a été rendue publique le 11 avril 2026. Un Proof of Concept (PoC) est disponible, ce qui augmente la probabilité d'exploitation. L'absence de réponse du projet MetaGPT est préoccupante et indique un risque accru d'exploitation. La vulnérabilité est actuellement classée comme ayant une probabilité d'exploitation moyenne (EPSS score en attente d'évaluation).
Organizations and individuals utilizing MetaGPT FoundationAgents versions 0.8.2 and earlier, particularly those integrating the Mineflayer HTTP API with other systems, are at significant risk. Shared hosting environments where multiple users share the same MetaGPT instance are especially vulnerable, as an attacker could potentially exploit the vulnerability on behalf of other users.
• python / server:
import requests
from bs4 import BeautifulSoup
# Example: Check for suspicious requests to the API
url = "http://your-metagpt-instance/api/mineflayer"
response = requests.get(url)
if response.status_code == 200:
soup = BeautifulSoup(response.content, 'html.parser')
# Look for unexpected parameters or actions
if soup.find('param', {'name': 'malicious_action'}) is not None:
print("Potential CSRF attack detected!")• generic web:
curl -I http://your-metagpt-instance/api/mineflayer | grep -i 'referer'disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 0%)
CISA SSVC
Vecteur CVSS
En l'absence d'une version corrigée, plusieurs mesures de mitigation peuvent être mises en œuvre. La première étape consiste à mettre en place une validation stricte des requêtes côté serveur, en utilisant des tokens CSRF pour vérifier l'authenticité des demandes. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les requêtes malveillantes. Enfin, il est recommandé de sensibiliser les utilisateurs aux risques liés aux attaques CSRF et de les encourager à faire preuve de prudence lors de la navigation sur des sites web inconnus. Après la mise en place de ces mesures, vérifiez l'intégrité du système en effectuant des tests de pénétration ciblés sur la fonction evaluateCode.
Mettez à jour vers une version corrigée de MetaGPT qui résout cette vulnérabilité de Cross-Site Request Forgery (CSRF). Consultez le dépôt du projet ou les notes de version pour plus de détails sur la mise à jour. Implémentez des mesures de sécurité supplémentaires, telles que la validation des entrées et la protection CSRF, pour atténuer le risque.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-6109 is a cross-site request forgery (CSRF) vulnerability affecting MetaGPT FoundationAgents versions up to 0.8.2, specifically within the Mineflayer HTTP API, allowing attackers to perform unauthorized actions.
If you are using MetaGPT FoundationAgents version 0.8.2 or earlier, you are potentially affected by this vulnerability. Upgrade as soon as a patch is available.
Currently, no official patch is available. Implement mitigation strategies like input validation, CSRF protection mechanisms, and WAF rules until a fix is released.
Due to the public disclosure and ease of exploitation, CVE-2026-6109 is likely being actively exploited. Monitor your systems closely.
Refer to the MetaGPT project's official channels (GitHub repository, website) for updates and advisories regarding CVE-2026-6109.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.