ScrapeGraphAI scrapegraph-ai GenerateCodeNode generate_code_node.py create_sandbox_and_execute os कमांड इंजेक्शन

CVE-2026-5532 ScrapeGraphAI के संस्करण 1.74.0 तक को प्रभावित करता है, जिसमें ऑपरेटिंग सिस्टम कमांड इंजेक्शन (OS) भेद्यता है। यह दोष फ़ाइल scrapegraphai/nodes/generatecodenode.py में createsandboxand_execute फ़ंक्शन में स्थित है, विशेष रूप से GenerateCodeNode घटक में। एक हमलावर इस भेद्यता का उपयोग अंतर्निहित सिस्टम पर मनमाना कमांड निष्पादित करने के लिए कर सकता है, जिससे डेटा और संसाधनों की गोपनीयता, अखंडता और उपलब्धता खतरे में पड़ सकती है। एक कार्यात्मक शोषण का सार्वजनिक प्रकटीकरण स्थिति को बढ़ाता है और हमलों के जोखिम को बढ़ाता है। विक्रेता की प्रतिक्रिया की कमी भेद्यता की गंभीरता और वास्तविक प्रभाव के बारे में आधिकारिक जानकारी प्राप्त करना मुश्किल बनाती है।

Organizations utilizing ScrapeGraphAI in production environments, particularly those with internet-facing deployments, are at risk. Systems running older versions (1.0.0–1.74.0) are especially vulnerable. Environments where ScrapeGraphAI is used to process untrusted data are at higher risk.

• python / server:

import os
import subprocess

def check_scrapegraphai_vulnerability():
    try:
        # Attempt to trigger the vulnerable function with malicious input
        result = subprocess.run(['scrapegraph-ai', 'generate_code_node', '; ls -la'], capture_output=True, text=True, timeout=5)
        if 'ls -la' in result.stdout:
            print("CVE-2026-5532 detected: Command injection possible!")
        else:
            print("CVE-2026-5532 not detected.")
    except Exception as e:
        print(f"Error checking vulnerability: {e}")

check_scrapegraphai_vulnerability()

• linux / server:

ps aux | grep scrapegraph-ai | grep -q 'create_sandbox_and_execute' && echo "CVE-2026-5532 potentially present: Check for suspicious commands in scrapegraph-ai processes" || echo "CVE-2026-5532 not detected."

1. 2026-04-05Disclosure

   disclosure

2. 2026-04-05PoC

   poc

3. 2026-04-05Patch

   patch

1. आरक्षित2026-04-04
2. प्रकाशित2026-04-05
3. संशोधित2026-04-06
4. EPSS अद्यतन2026-04-12

अनुशंसित तत्काल शमन उपाय ScrapeGraphAI को संस्करण 1.10.0 या उच्चतर में अपडेट करना है, जो इस भेद्यता को संबोधित करता है। यदि तत्काल अपडेट संभव नहीं है, तो अतिरिक्त सुरक्षा उपाय लागू करने पर विचार करें, जैसे कि केवल अधिकृत उपयोगकर्ताओं तक एप्लिकेशन एक्सेस को प्रतिबंधित करना, नेटवर्क ट्रैफ़िक को नियंत्रित करने के लिए फ़ायरवॉल लागू करना और शोषण के संकेतों के लिए सिस्टम गतिविधि की निगरानी करना। इसके अतिरिक्त, भविष्य के कमांड इंजेक्शन भेद्यताओं को रोकने के लिए स्रोत कोड की समीक्षा और मजबूत करें। विक्रेता की प्रतिक्रिया की कमी को देखते हुए, उपयोगकर्ताओं को अपने स्वयं के जोखिम मूल्यांकन करने और अपने पर्यावरण के लिए सबसे उपयुक्त सुरक्षा उपाय लागू करने की आवश्यकता है।