Plateforme
python
Composant
metagpt
Corrigé dans
0.8.1
0.8.2
0.8.3
Une vulnérabilité de code injection a été découverte dans MetaGPT FoundationAgents, affectant les versions inférieures ou égales à 0.8.2. Cette faille se situe dans la fonction generate_thoughts du fichier metagpt/strategy/tot.py, un composant du solveur Tree-of-Thought. L'exploitation réussie permet à un attaquant d'injecter du code malveillant et de l'exécuter à distance, compromettant potentiellement l'intégrité du système.
L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter cette faille pour exécuter du code arbitraire sur le système où MetaGPT FoundationAgents est en cours d'exécution. Cela peut conduire à la compromission complète du système, incluant le vol de données sensibles, la modification de fichiers, ou l'installation de logiciels malveillants. La possibilité d'une exécution à distance rend cette vulnérabilité particulièrement dangereuse, car elle peut être exploitée sans nécessiter d'accès physique au système cible. La disponibilité d'un exploit public augmente considérablement le risque d'exploitation.
Un exploit public est déjà disponible, ce qui augmente considérablement le risque d'exploitation. La vulnérabilité a été signalée via un rapport de problème, mais le projet n'a pas encore répondu. Il est donc crucial d'agir rapidement pour atténuer le risque. La date de publication de la CVE est le 2026-04-11, indiquant une divulgation publique récente.
Organizations utilizing MetaGPT FoundationAgents in production environments, particularly those with limited network segmentation or inadequate input validation practices, are at significant risk. Development teams integrating MetaGPT into their workflows should also be aware of this vulnerability and prioritize patching.
• python / server:
import os
import subprocess
def check_metagpt_version():
try:
result = subprocess.check_output(['pip', 'show', 'metagpt'], stderr=subprocess.STDOUT)
version = result.decode('utf-8').split('Version: ')[1].strip()
if version <= '0.8.2':
print(f"MetaGPT version is vulnerable: {version}")
else:
print(f"MetaGPT version is patched: {version}")
except FileNotFoundError:
print("MetaGPT is not installed.")
except Exception as e:
print(f"Error checking MetaGPT version: {e}")
check_metagpt_version()• python / supply-chain: Monitor Python package dependencies for known vulnerabilities using tools like pip audit or safety.
• generic web: Monitor access logs for unusual requests targeting the metagpt/strategy/tot.py endpoint.
disclosure
poc
kev
Statut de l'Exploit
EPSS
0.07% (percentile 21%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour MetaGPT FoundationAgents vers une version corrigée dès que possible. En attendant la mise à jour, il est recommandé de limiter l'accès à la fonction generate_thoughts et de mettre en place une validation stricte des entrées. Si la mise à jour n'est pas immédiatement possible, envisagez d'isoler le système exécutant MetaGPT FoundationAgents du reste du réseau pour limiter le rayon d'impact potentiel d'une attaque. Surveillez attentivement les journaux système pour détecter toute activité suspecte.
La vulnérabilité d'injection de code dans la fonction `generate_thoughts` de `tot.py` peut être atténuée en examinant et en validant soigneusement l'entrée fournie à cette fonction afin d'empêcher l'exécution de code malveillant. Il est recommandé de mettre à jour vers une version corrigée dès qu'elle est disponible.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-6110 is a code injection vulnerability affecting MetaGPT FoundationAgents versions up to 0.8.2. It allows attackers to remotely execute arbitrary code by manipulating the generate_thoughts function.
You are affected if you are using MetaGPT FoundationAgents version 0.8.2 or earlier. Upgrade to a patched version as soon as possible.
The recommended fix is to upgrade to a patched version of MetaGPT FoundationAgents. As a fix is not yet available, implement temporary workarounds like restricting network access and input validation.
A public exploit is available, indicating a high probability of active exploitation. Security teams should prioritize remediation.
Refer to the MetaGPT project's official channels (GitHub repository, website) for updates and advisories regarding CVE-2026-6110.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.