MetaGPT में एक इंजेक्शन समस्या है

यह भेद्यता हमलावरों को मनमाना कोड निष्पादित करने की अनुमति देती है, जिससे सिस्टम पर पूर्ण नियंत्रण प्राप्त हो सकता है। हमलावर संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं, सिस्टम को दूषित कर सकते हैं, या अन्य दुर्भावनापूर्ण गतिविधियाँ कर सकते हैं। चूंकि शोषण सार्वजनिक रूप से उपलब्ध है, इसलिए इसका शोषण होने का खतरा बढ़ गया है। इस भेद्यता का उपयोग सिस्टम के भीतर पार्श्व आंदोलन के लिए भी किया जा सकता है, जिससे हमलावर अन्य प्रणालियों तक पहुंच प्राप्त कर सकते हैं।

Organizations and individuals utilizing FoundationAgents MetaGPT versions 0.8.0 through 0.8.1, particularly those deploying it in environments handling sensitive data or critical infrastructure, are at immediate risk. Those relying on MetaGPT for automated code evaluation or testing are especially vulnerable.

• python / server:

import os
import subprocess
# Check for the vulnerable function
with open('/path/to/your/foundationagents/HumanEvalBenchmark/MBPPBenchmark.py', 'r') as f:
    if 'check_solution' in f.read():
        print('Vulnerable function detected!')

• python / supply-chain:

import subprocess
result = subprocess.run(['pip', 'show', 'foundationagents'], capture_output=True, text=True)
if 'Version: 0.8.0' in result.stdout or 'Version: 0.8.1' in result.stdout:
    print('FoundationAgents version is vulnerable!')

1. 2026-04-09Disclosure

   disclosure

2. 2026-04-09PoC

   poc

1. आरक्षित2026-04-09
2. प्रकाशित2026-04-09
3. EPSS अद्यतन2026-04-17

FoundationAgents MetaGPT के नवीनतम संस्करण में अपडेट करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपडेट करना संभव नहीं है, तो अस्थायी शमन लागू किए जा सकते हैं। इसमें इनपुट सत्यापन को मजबूत करना और check_solution फ़ंक्शन के लिए एक्सेस नियंत्रण को सीमित करना शामिल है। फ़ायरवॉल नियमों का उपयोग करके संदिग्ध नेटवर्क ट्रैफ़िक को ब्लॉक करना भी सहायक हो सकता है। भविष्य में इस तरह की भेद्यताओं को रोकने के लिए सुरक्षित कोडिंग प्रथाओं को लागू करना महत्वपूर्ण है।