मुफ्त स्कैन करें
MEDIUMCVE-2026-5532CVSS 6.3

ScrapeGraphAI scrapegraph-ai GenerateCodeNode generate_code_node.py create_sandbox_and_execute os कमांड इंजेक्शन

प्लेटफ़ॉर्म

python

घटक

scrapegraph-ai

में ठीक किया गया

1.0.1

1.1.1

1.2.1

1.3.1

1.4.1

1.5.1

1.6.1

1.7.1

1.8.1

1.9.1

1.10.1

1.11.1

1.12.1

1.13.1

1.14.1

1.15.1

1.16.1

1.17.1

1.18.1

1.19.1

1.20.1

1.21.1

1.22.1

1.23.1

1.24.1

1.25.1

1.26.1

1.27.1

1.28.1

1.29.1

1.30.1

1.31.1

1.32.1

1.33.1

1.34.1

1.35.1

1.36.1

1.37.1

1.38.1

1.39.1

1.40.1

1.41.1

1.42.1

1.43.1

1.44.1

1.45.1

1.46.1

1.47.1

1.48.1

1.49.1

1.50.1

1.51.1

1.52.1

1.53.1

1.54.1

1.55.1

1.56.1

1.57.1

1.58.1

1.59.1

1.60.1

1.61.1

1.62.1

1.63.1

1.64.1

1.65.1

1.66.1

1.67.1

1.68.1

1.69.1

1.70.1

1.71.1

1.72.1

1.73.1

1.74.1

AI Confidence: highNVDEPSS 0.9%समीक्षित: मई 2026
NVD पर देखें
सहेजें

ScrapeGraphAI में एक कमांड इंजेक्शन भेद्यता पाई गई है, जो 1.0.0 से 1.74.0 तक के संस्करणों को प्रभावित करती है। यह भेद्यता scrapegraphai/nodes/generatecodenode.py फ़ाइल में createsandboxand_execute फ़ंक्शन के माध्यम से हमलावरों को ऑपरेटिंग सिस्टम कमांड निष्पादित करने की अनुमति देती है। यह भेद्यता दूर से शोषण योग्य है और सार्वजनिक रूप से ज्ञात है। संस्करण 1.10.0 में इस समस्या का समाधान किया गया है।

Python

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

requirements.txt अपलोड करेंसमर्थित प्रारूप: requirements.txt · Pipfile.lock

प्रभाव और हमले की स्थितियाँ

CVE-2026-5532 ScrapeGraphAI के संस्करण 1.74.0 तक को प्रभावित करता है, जिसमें ऑपरेटिंग सिस्टम कमांड इंजेक्शन (OS) भेद्यता है। यह दोष फ़ाइल scrapegraphai/nodes/generatecodenode.py में createsandboxand_execute फ़ंक्शन में स्थित है, विशेष रूप से GenerateCodeNode घटक में। एक हमलावर इस भेद्यता का उपयोग अंतर्निहित सिस्टम पर मनमाना कमांड निष्पादित करने के लिए कर सकता है, जिससे डेटा और संसाधनों की गोपनीयता, अखंडता और उपलब्धता खतरे में पड़ सकती है। एक कार्यात्मक शोषण का सार्वजनिक प्रकटीकरण स्थिति को बढ़ाता है और हमलों के जोखिम को बढ़ाता है। विक्रेता की प्रतिक्रिया की कमी भेद्यता की गंभीरता और वास्तविक प्रभाव के बारे में आधिकारिक जानकारी प्राप्त करना मुश्किल बनाती है।

शोषण संदर्भ

भेद्यता createsandboxand_execute फ़ंक्शन के भीतर स्थित है, जिसका उपयोग उत्पन्न कोड निष्पादित करने के लिए किया जाता है। एक हमलावर इस फ़ंक्शन के इनपुट में हेरफेर करके ऑपरेटिंग सिस्टम कमांड इंजेक्ट कर सकता है जिन्हें ScrapeGraphAI प्रक्रिया के विशेषाधिकारों के साथ निष्पादित किया जाएगा। शोषण की दूरस्थ प्रकृति का मतलब है कि सिस्टम को समझौता करने के लिए हमलावर को भौतिक पहुंच की आवश्यकता नहीं है। शोषण का सार्वजनिक प्रकटीकरण विभिन्न तकनीकी कौशल वाले हमलावरों द्वारा शोषण को आसान बनाता है। विक्रेता की प्रतिक्रिया की कमी परियोजना के संभावित परित्याग का संकेत देती है, जिससे भेद्यता प्रबंधन और भी जटिल हो जाता है।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations utilizing ScrapeGraphAI in production environments, particularly those with internet-facing deployments, are at risk. Systems running older versions (1.0.0–1.74.0) are especially vulnerable. Environments where ScrapeGraphAI is used to process untrusted data are at higher risk.

पहचान के चरणअनुवाद हो रहा है…

• python / server:

import os
import subprocess

def check_scrapegraphai_vulnerability():
    try:
        # Attempt to trigger the vulnerable function with malicious input
        result = subprocess.run(['scrapegraph-ai', 'generate_code_node', '; ls -la'], capture_output=True, text=True, timeout=5)
        if 'ls -la' in result.stdout:
            print("CVE-2026-5532 detected: Command injection possible!")
        else:
            print("CVE-2026-5532 not detected.")
    except Exception as e:
        print(f"Error checking vulnerability: {e}")

check_scrapegraphai_vulnerability()

• linux / server:

ps aux | grep scrapegraph-ai | grep -q 'create_sandbox_and_execute' && echo "CVE-2026-5532 potentially present: Check for suspicious commands in scrapegraph-ai processes" || echo "CVE-2026-5532 not detected."

हमले की समयरेखा

  1. Disclosure

    disclosure

  2. PoC

    poc

  3. Patch

    patch

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

EPSS

0.86% (75% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R6.3MEDIUMAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionRequiredक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityLowसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityLowसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
निम्न — कुछ डेटा तक आंशिक पहुंच।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
निम्न — आंशिक या रुक-रुक कर सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकscrapegraph-ai
विक्रेताScrapeGraphAI
प्रभावित श्रेणीमें ठीक किया गया
1.0 – 1.01.0.1
1.1 – 1.11.1.1
1.2 – 1.21.2.1
1.3 – 1.31.3.1
1.4 – 1.41.4.1
1.5 – 1.51.5.1
1.6 – 1.61.6.1
1.7 – 1.71.7.1
1.8 – 1.81.8.1
1.9 – 1.91.9.1
1.10 – 1.101.10.1
1.11 – 1.111.11.1
1.12 – 1.121.12.1
1.13 – 1.131.13.1
1.14 – 1.141.14.1
1.15 – 1.151.15.1
1.16 – 1.161.16.1
1.17 – 1.171.17.1
1.18 – 1.181.18.1
1.19 – 1.191.19.1
1.20 – 1.201.20.1
1.21 – 1.211.21.1
1.22 – 1.221.22.1
1.23 – 1.231.23.1
1.24 – 1.241.24.1
1.25 – 1.251.25.1
1.26 – 1.261.26.1
1.27 – 1.271.27.1
1.28 – 1.281.28.1
1.29 – 1.291.29.1
1.30 – 1.301.30.1
1.31 – 1.311.31.1
1.32 – 1.321.32.1
1.33 – 1.331.33.1
1.34 – 1.341.34.1
1.35 – 1.351.35.1
1.36 – 1.361.36.1
1.37 – 1.371.37.1
1.38 – 1.381.38.1
1.39 – 1.391.39.1
1.40 – 1.401.40.1
1.41 – 1.411.41.1
1.42 – 1.421.42.1
1.43 – 1.431.43.1
1.44 – 1.441.44.1
1.45 – 1.451.45.1
1.46 – 1.461.46.1
1.47 – 1.471.47.1
1.48 – 1.481.48.1
1.49 – 1.491.49.1
1.50 – 1.501.50.1
1.51 – 1.511.51.1
1.52 – 1.521.52.1
1.53 – 1.531.53.1
1.54 – 1.541.54.1
1.55 – 1.551.55.1
1.56 – 1.561.56.1
1.57 – 1.571.57.1
1.58 – 1.581.58.1
1.59 – 1.591.59.1
1.60 – 1.601.60.1
1.61 – 1.611.61.1
1.62 – 1.621.62.1
1.63 – 1.631.63.1
1.64 – 1.641.64.1
1.65 – 1.651.65.1
1.66 – 1.661.66.1
1.67 – 1.671.67.1
1.68 – 1.681.68.1
1.69 – 1.691.69.1
1.70 – 1.701.70.1
1.71 – 1.711.71.1
1.72 – 1.721.72.1
1.73 – 1.731.73.1
1.74.0 – 1.74.01.74.1

कमजोरी वर्गीकरण (CWE)

CWE-78CWE-77

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

अनुशंसित तत्काल शमन उपाय ScrapeGraphAI को संस्करण 1.10.0 या उच्चतर में अपडेट करना है, जो इस भेद्यता को संबोधित करता है। यदि तत्काल अपडेट संभव नहीं है, तो अतिरिक्त सुरक्षा उपाय लागू करने पर विचार करें, जैसे कि केवल अधिकृत उपयोगकर्ताओं तक एप्लिकेशन एक्सेस को प्रतिबंधित करना, नेटवर्क ट्रैफ़िक को नियंत्रित करने के लिए फ़ायरवॉल लागू करना और शोषण के संकेतों के लिए सिस्टम गतिविधि की निगरानी करना। इसके अतिरिक्त, भविष्य के कमांड इंजेक्शन भेद्यताओं को रोकने के लिए स्रोत कोड की समीक्षा और मजबूत करें। विक्रेता की प्रतिक्रिया की कमी को देखते हुए, उपयोगकर्ताओं को अपने स्वयं के जोखिम मूल्यांकन करने और अपने पर्यावरण के लिए सबसे उपयुक्त सुरक्षा उपाय लागू करने की आवश्यकता है।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice a la versión 1.10.0 o superior para mitigar la vulnerabilidad de inyección de comandos del sistema operativo.  Revise el código fuente para identificar y corregir la causa raíz de la vulnerabilidad, asegurándose de que la entrada del usuario se valide y escape correctamente antes de ser utilizada en comandos del sistema operativo.  Implemente medidas de seguridad adicionales, como el uso de un entorno de ejecución aislado, para limitar el impacto potencial de la vulnerabilidad.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-5532 क्या है — ScrapeGraphAI में Command Injection?

इसका मतलब है कि एक हमलावर ScrapeGraphAI के चलने वाले सर्वर पर, एक वैध उपयोगकर्ता की तरह, मनमाना कमांड निष्पादित कर सकता है।

क्या मैं ScrapeGraphAI में CVE-2026-5532 से प्रभावित हूं?

फ़ायरवॉल, एक्सेस कंट्रोल और गतिविधि निगरानी जैसे अतिरिक्त सुरक्षा उपाय लागू करें।

ScrapeGraphAI में CVE-2026-5532 को कैसे ठीक करें?

प्रतिक्रिया की कमी चिंताजनक है और परियोजना के रखरखाव में संभावित समस्याओं का संकेत देती है।

क्या CVE-2026-5532 का सक्रिय रूप से शोषण किया जा रहा है?

जांचें कि आप ScrapeGraphAI के किस संस्करण का उपयोग कर रहे हैं। यदि यह 1.10.0 से पुराना है, तो आप प्रभावित हैं।

CVE-2026-5532 के लिए ScrapeGraphAI का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

CVE-2026-5532 के लिए कॉमन भेद्यता और एक्सपोजर (CVE) डेटाबेस देखें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें