प्लेटफ़ॉर्म
python
घटक
letta-ai/letta
में ठीक किया गया
0.16.5
letta-ai letta में एक कोड इंजेक्शन भेद्यता की पहचान की गई है, जो संस्करण 0.16.4–0.16.4 को प्रभावित करती है। यह भेद्यता फ़ाइल letta/functions/astparsers.py में resolvetype फ़ंक्शन में मौजूद है, जिससे हमलावर गतिशील रूप से मूल्यांकन किए गए कोड में निर्देशों को निष्क्रिय करने में विफल कर सकते हैं। शोषण दूर से शुरू किया जा सकता है और सार्वजनिक रूप से उपलब्ध है। इस भेद्यता को ठीक करने के लिए नवीनतम संस्करण में अपडेट करने की अनुशंसा की जाती है।
यह भेद्यता हमलावर को सिस्टम पर मनमाना कोड निष्पादित करने की अनुमति दे सकती है, जिससे संभावित रूप से डेटा चोरी, सिस्टम समझौता या अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं। चूंकि शोषण सार्वजनिक रूप से उपलब्ध है, इसलिए इसका फायदा उठाया जा सकता है। हमलावर सिस्टम के नियंत्रण को प्राप्त कर सकते हैं और संवेदनशील जानकारी तक पहुंच प्राप्त कर सकते हैं। इस भेद्यता का प्रभाव व्यापक हो सकता है, खासकर उन वातावरणों में जहां letta का उपयोग महत्वपूर्ण अनुप्रयोगों में किया जाता है। यह CVE-2025-6101 के अधूरे फिक्स से संबंधित है, जो पहले की भेद्यता के कारण उत्पन्न होने वाली जटिलताओं को दर्शाता है।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और शोषण उपलब्ध है, जिससे इसका फायदा उठाया जा सकता है। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है, लेकिन इसकी उच्च गंभीरता को देखते हुए, भविष्य में इसे शामिल किया जा सकता है। हमलावरों द्वारा इसका सक्रिय रूप से शोषण किए जाने की संभावना है, खासकर उन प्रणालियों में जो पैच नहीं किए गए हैं। NVD ने 2026-03-27 को इस भेद्यता को प्रकाशित किया।
Organizations and individuals using letta-ai letta version 0.16.4, particularly those deploying it in production environments or integrating it with other critical systems, are at significant risk. Systems where letta-ai letta processes user-supplied data without proper sanitization are especially vulnerable.
• python / supply-chain:
import os
import subprocess
# Check for the vulnerable version of letta-ai letta
process = subprocess.run(['pip', 'show', 'letta-ai'], capture_output=True, text=True)
output = process.stdout
if 'Version: 0.16.4' in output:
print('Vulnerable version detected!')• generic web: Check for unusual process executions or network connections originating from the letta-ai letta process. Monitor access logs for suspicious requests containing potentially malicious code.
disclosure
poc
एक्सप्लॉइट स्थिति
EPSS
0.02% (5% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे प्रभावी शमन उपाय letta को नवीनतम संस्करण में अपडेट करना है जिसमें इस भेद्यता के लिए एक पैच शामिल है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, इनपुट सत्यापन और सैनिटाइजेशन लागू करने पर विचार करें ताकि दुर्भावनापूर्ण निर्देशों को कोड में इंजेक्ट करने से रोका जा सके। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके, आप संभावित हमलों को ब्लॉक कर सकते हैं। नियमित रूप से सिस्टम लॉग की निगरानी करें ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके। सुनिश्चित करें कि सभी सॉफ़्टवेयर और लाइब्रेरीज़ नवीनतम सुरक्षा पैच के साथ अपडेट हैं। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है और सिस्टम सामान्य रूप से काम कर रहा है।
Actualice la biblioteca letta-ai letta a una versión corregida. Dado que no hay una versión fija disponible, se recomienda monitorear el proyecto para futuras actualizaciones o considerar alternativas que no sean vulnerables a la inyección de código.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-4965 letta-ai letta 0.16.4–0.16.4 में एक कोड इंजेक्शन भेद्यता है जो फ़ाइल letta/functions/astparsers.py में resolvetype फ़ंक्शन को प्रभावित करती है।
यदि आप letta-ai letta के संस्करण 0.16.4–0.16.4 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-4965 को ठीक करने के लिए, letta को नवीनतम संस्करण में अपडेट करें जिसमें इस भेद्यता के लिए एक पैच शामिल है।
CVE-2026-4965 सार्वजनिक रूप से शोषण उपलब्ध होने के कारण सक्रिय रूप से शोषण किए जाने की संभावना है।
कृपया letta-ai की आधिकारिक वेबसाइट पर जाएं या सुरक्षा सलाहकारों के लिए उनके दस्तावेज़ देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।