मुफ्त स्कैन करें
HIGHCVE-2026-6110CVSS 7.3

MetaGPT में metagpt/strategy/tot.py में एक eval इंजेक्शन है

प्लेटफ़ॉर्म

python

घटक

metagpt

में ठीक किया गया

0.8.1

0.8.2

0.8.3

AI Confidence: highNVDEPSS 0.1%समीक्षित: मई 2026
NVD पर देखें
सहेजें

MetaGPT के संस्करण 0.8.2 से कम या बराबर में एक गंभीर कोड इंजेक्शन भेद्यता की पहचान की गई है। यह भेद्यता Tree-of-Thought Solver घटक के generate_thoughts फ़ंक्शन में मौजूद है, जिससे हमलावर दूर से दुर्भावनापूर्ण कोड निष्पादित कर सकते हैं। इस भेद्यता का प्रभाव उच्च है, और सार्वजनिक रूप से शोषण उपलब्ध होने के कारण तत्काल ध्यान देने की आवश्यकता है। परियोजना को समस्या के बारे में सूचित किया गया है, लेकिन अभी तक प्रतिक्रिया नहीं मिली है।

Python

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

requirements.txt अपलोड करेंसमर्थित प्रारूप: requirements.txt · Pipfile.lock

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को MetaGPT एप्लिकेशन के भीतर मनमाना कोड निष्पादित करने की अनुमति देती है। एक सफल शोषण से डेटा चोरी, सिस्टम समझौता, या अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं। चूंकि शोषण सार्वजनिक रूप से उपलब्ध है, इसलिए इसका फायदा उठाने की संभावना बढ़ जाती है। हमलावर Tree-of-Thought Solver घटक में generate_thoughts फ़ंक्शन में हेरफेर करके कोड इंजेक्शन कर सकते हैं, जिससे वे सिस्टम पर नियंत्रण प्राप्त कर सकते हैं। इस भेद्यता का उपयोग अन्य प्रणालियों में आगे बढ़ने के लिए भी किया जा सकता है, जिससे संभावित रूप से व्यापक क्षति हो सकती है।

शोषण संदर्भ

यह भेद्यता सार्वजनिक रूप से ज्ञात है और शोषण उपलब्ध है, जिससे इसका फायदा उठाने की संभावना बढ़ जाती है। यह अभी तक CISA KEV सूची में शामिल नहीं किया गया है, लेकिन इसकी उच्च गंभीरता को देखते हुए, भविष्य में इसे जोड़ा जा सकता है। चूंकि परियोजना ने अभी तक प्रतिक्रिया नहीं दी है, इसलिए उपयोगकर्ताओं को अतिरिक्त सावधानी बरतनी चाहिए और जल्द से जल्द पैच लागू करना चाहिए।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations utilizing MetaGPT FoundationAgents in production environments, particularly those with limited network segmentation or inadequate input validation practices, are at significant risk. Development teams integrating MetaGPT into their workflows should also be aware of this vulnerability and prioritize patching.

पहचान के चरणअनुवाद हो रहा है…

• python / server:

import os
import subprocess

def check_metagpt_version():
    try:
        result = subprocess.check_output(['pip', 'show', 'metagpt'], stderr=subprocess.STDOUT)
        version = result.decode('utf-8').split('Version: ')[1].strip()
        if version <= '0.8.2':
            print(f"MetaGPT version is vulnerable: {version}")
        else:
            print(f"MetaGPT version is patched: {version}")
    except FileNotFoundError:
        print("MetaGPT is not installed.")
    except Exception as e:
        print(f"Error checking MetaGPT version: {e}")

check_metagpt_version()

• python / supply-chain: Monitor Python package dependencies for known vulnerabilities using tools like pip audit or safety. • generic web: Monitor access logs for unusual requests targeting the metagpt/strategy/tot.py endpoint.

हमले की समयरेखा

  1. Disclosure

    disclosure

  2. PoC

    poc

  3. CISA KEV

    kev

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट2 खतरा रिपोर्ट

EPSS

0.07% (21% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयyes
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L7.3HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityLowसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityLowसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
निम्न — कुछ डेटा तक आंशिक पहुंच।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
निम्न — आंशिक या रुक-रुक कर सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकmetagpt
विक्रेताosv
प्रभावित श्रेणीमें ठीक किया गया
0.8.0 – 0.8.00.8.1
0.8.1 – 0.8.10.8.2
0.8.20.8.3

कमजोरी वर्गीकरण (CWE)

CWE-94CWE-74

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन
बिना पैच — प्रकाशन से 43 दिन

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, MetaGPT को संस्करण 0.8.2 में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ायरवॉल नियमों को लागू करके या वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके generate_thoughts फ़ंक्शन तक पहुंच को सीमित करने पर विचार करें। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को मजबूत करने से इंजेक्शन हमलों के जोखिम को कम करने में मदद मिल सकती है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, सिस्टम का परीक्षण करें।

कैसे ठीक करें

`tot.py` के `generate_thoughts` फ़ंक्शन में कोड इंजेक्शन भेद्यता को इस फ़ंक्शन को दिए गए इनपुट की सावधानीपूर्वक समीक्षा और सत्यापन करके कम किया जा सकता है ताकि दुर्भावनापूर्ण कोड के निष्पादन को रोका जा सके। जैसे ही उपलब्ध हो, एक ठीक किए गए संस्करण में अपडेट करने की अनुशंसा की जाती है।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-6110 — कोड इंजेक्शन MetaGPT में क्या है?

CVE-2026-6110 MetaGPT के संस्करण 0.8.2 से कम या बराबर में Tree-of-Thought Solver घटक में generate_thoughts फ़ंक्शन में एक कोड इंजेक्शन भेद्यता है, जिससे दूर से कोड निष्पादित किया जा सकता है।

क्या मैं CVE-2026-6110 में MetaGPT से प्रभावित हूं?

यदि आप MetaGPT के संस्करण 0.8.2 से पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं CVE-2026-6110 में MetaGPT को कैसे ठीक करूं?

MetaGPT को संस्करण 0.8.2 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो फ़ायरवॉल नियमों या WAF का उपयोग करके generate_thoughts फ़ंक्शन तक पहुंच को सीमित करें।

क्या CVE-2026-6110 सक्रिय रूप से शोषण किया जा रहा है?

सार्वजनिक रूप से शोषण उपलब्ध होने के कारण, CVE-2026-6110 का सक्रिय रूप से शोषण होने की संभावना है।

मैं CVE-2026-6110 के लिए आधिकारिक MetaGPT सलाहकार कहां पा सकता हूं?

MetaGPT परियोजना की वेबसाइट या GitHub रिपॉजिटरी पर आधिकारिक सलाहकार की जाँच करें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें