मुफ्त स्कैन करें
MEDIUMCVE-2026-4515CVSS 6.3

Foundation Agents MetaGPT operator.py code_generate कोड इंजेक्शन

प्लेटफ़ॉर्म

python

घटक

metagpt

में ठीक किया गया

0.8.1

0.8.2

AI Confidence: highNVDEPSS 0.0%समीक्षित: मई 2026
NVD पर देखें
सहेजें
आपकी भाषा में अनुवाद हो रहा है…

A code injection vulnerability has been identified in MetaGPT, affecting versions 0.8.0 through 0.8.1. This flaw resides within the code_generate function of the operator.py file, allowing attackers to potentially execute arbitrary code. The vulnerability is exploitable remotely and a public exploit is already available, highlighting the urgency of remediation. The vendor has not yet acknowledged or responded to the disclosure.

Python

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

requirements.txt अपलोड करेंसमर्थित प्रारूप: requirements.txt · Pipfile.lock

प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…

Successful exploitation of CVE-2026-4515 allows an attacker to inject and execute arbitrary code on a system running vulnerable MetaGPT instances. This could lead to complete system compromise, including data exfiltration, malware installation, and denial of service. Given the remote accessibility of the vulnerability and the availability of a public exploit, the potential for widespread exploitation is significant. The impact is amplified if MetaGPT is integrated into critical workflows or processes, as an attacker could leverage this vulnerability to disrupt operations or gain access to sensitive information.

शोषण संदर्भअनुवाद हो रहा है…

This vulnerability was publicly disclosed on 2026-03-21. The existence of a public proof-of-concept significantly increases the risk of exploitation. The lack of response from the vendor raises concerns about the timeliness of a patch. The vulnerability is not currently listed on CISA KEV, and an EPSS score is pending evaluation, but the public exploit suggests a medium to high probability of exploitation.

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations utilizing MetaGPT in automated workflows, particularly those involving external data sources or user-provided input, are at heightened risk. Systems running MetaGPT in production environments without proper security controls or monitoring are also particularly vulnerable. Shared hosting environments where multiple users share the same MetaGPT instance could facilitate lateral movement if one instance is compromised.

पहचान के चरणअनुवाद हो रहा है…

• python / server:

import os
import subprocess

def check_metagpt_version():
    try:
        result = subprocess.check_output(['pip', 'show', 'metagpt'], stderr=subprocess.STDOUT)
        version = result.decode('utf-8').split('Version: ')[1].strip()
        if '0.8.0' <= version <= '0.8.1':
            print(f"MetaGPT version {version} is vulnerable to CVE-2026-4515")
        else:
            print("MetaGPT version is not vulnerable.")
    except FileNotFoundError:
        print("MetaGPT is not installed.")
    except Exception as e:
        print(f"Error checking MetaGPT version: {e}")

check_metagpt_version()

• python / supply-chain: Examine Python dependencies for unusual or unexpected packages that might be exploiting the vulnerability. • generic web: Monitor access logs for requests targeting metagpt/ext/aflow/scripts/operator.py with unusual parameters.

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.05% (14% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R6.3MEDIUMAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredLowहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityLowसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityLowसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
निम्न — कुछ डेटा तक आंशिक पहुंच।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
निम्न — आंशिक या रुक-रुक कर सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकmetagpt
विक्रेताFoundation Agents
प्रभावित श्रेणीमें ठीक किया गया
0.8.0 – 0.8.00.8.1
0.8.1 – 0.8.10.8.2

कमजोरी वर्गीकरण (CWE)

CWE-94CWE-74

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन
बिना पैच — प्रकाशन से 64 दिन

शमन और वर्कअराउंडअनुवाद हो रहा है…

The primary mitigation for CVE-2026-4515 is to upgrade to a patched version of MetaGPT as soon as it becomes available. Since a fixed version is not yet specified, consider isolating vulnerable instances to limit potential exposure. While a direct fix awaits, review the metagpt/ext/aflow/scripts/operator.py file for any unusual or unexpected code execution patterns. Implement strict input validation and sanitization for any data passed to the code_generate function to reduce the attack surface. After upgrading, confirm the fix by attempting to trigger the code injection vulnerability and verifying that it is no longer exploitable.

कैसे ठीक करें

MetaGPT लाइब्रेरी को 0.8.1 से बाद के संस्करण में अपडेट करें जो कोड इंजेक्शन भेद्यता को ठीक करता है। यदि कोई संस्करण उपलब्ध नहीं है, तो कोड इंजेक्शन को रोकने के लिए metagpt/ext/aflow/scripts/operator.py फ़ाइल में code_generate फ़ंक्शन पर पैच लागू करने पर विचार करें।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…

What is CVE-2026-4515 — Code Injection in MetaGPT?

CVE-2026-4515 is a code injection vulnerability affecting MetaGPT versions 0.8.0–0.8.1. It allows attackers to execute arbitrary code remotely through the code_generate function.

Am I affected by CVE-2026-4515 in MetaGPT?

You are affected if you are running MetaGPT versions 0.8.0 or 0.8.1. Check your installed version using pip show metagpt.

How do I fix CVE-2026-4515 in MetaGPT?

Upgrade to a patched version of MetaGPT as soon as it becomes available. Until then, isolate vulnerable instances and implement strict input validation.

Is CVE-2026-4515 being actively exploited?

A public exploit exists, indicating a high probability of active exploitation. Monitor your systems closely.

Where can I find the official MetaGPT advisory for CVE-2026-4515?

As of the disclosure date, the vendor has not released an official advisory. Monitor the MetaGPT project's website and GitHub repository for updates.

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें