MetaGPT Command Injection Vulnerability (CVE-2026-5973)

MetaGPT FoundationAgents के संस्करण 0.8.1 तक में एक कमांड इंजेक्शन भेद्यता की पहचान की गई है। यह भेद्यता metagpt/utils/common.py फ़ाइल में getmimetype फ़ंक्शन के भीतर मौजूद है। एक दूरस्थ हमलावर इस त्रुटि का फायदा उठाकर इस फ़ंक्शन के इनपुट को बदलकर अंतर्निहित सिस्टम पर मनमाना ऑपरेटिंग सिस्टम कमांड निष्पादित कर सकता है। CVSS के अनुसार इस भेद्यता की गंभीरता को 7.3 के रूप में रेट किया गया है। यह विशेष रूप से चिंताजनक है कि यह भेद्यता पहले से ही सार्वजनिक रूप से उजागर की गई है और परियोजना ने कोई फिक्स या पैच प्रदान नहीं किया है, जिससे सक्रिय शोषण का जोखिम बढ़ जाता है। शुरुआती पुल अनुरोध पर परियोजना टीम की प्रतिक्रिया की कमी ने स्थिति को और खराब कर दिया है।

Organizations and individuals deploying MetaGPT versions 0.8.0 and 0.8.1 are at risk. This includes developers using MetaGPT in their projects, as well as those relying on MetaGPT for automated tasks or integrations. Environments with limited network segmentation or inadequate input validation are particularly vulnerable.

• python / server:

import os
import subprocess

def check_mime_type(filename):
    try:
        result = subprocess.run(['file', filename], capture_output=True, text=True, check=True)
        mime_type = result.stdout.split(';')[0].strip()
        return mime_type
    except subprocess.CalledProcessError as e:
        print(f"Error: {e}")
        return None

# Example usage (use with caution and controlled environment)
filename = input("Enter filename: ")
mime_type = check_mime_type(filename)
if mime_type:
    print(f"MIME type: {mime_type}")
else:
    print("Could not determine MIME type.")

• linux / server:

journalctl -u metagpt -g 'command injection' # Check for suspicious command executions

1. 2026-04-09Disclosure

   disclosure

1. आरक्षित2026-04-09
2. प्रकाशित2026-04-09
3. संशोधित2026-04-14
4. EPSS अद्यतन2026-04-17

चूंकि MetaGPT टीम ने कोई आधिकारिक फिक्स प्रदान नहीं किया है, इसलिए तत्काल शमन उपाय MetaGPT FoundationAgents का उपयोग तब तक टालना है जब तक कि एक पैच किया गया संस्करण जारी न हो जाए। यदि उपयोग आवश्यक है, तो अतिरिक्त सुरक्षा नियंत्रणों को लागू करने की सिफारिश की जाती है, जैसे कि नेटवर्क अलगाव और MetaGPT चलाने के लिए उपयोग किए जाने वाले खाते के विशेषाधिकारों को सीमित करना। सिस्टम को शोषण के संकेतों के लिए सक्रिय रूप से मॉनिटर करना महत्वपूर्ण है। इसके अतिरिक्त, दुर्भावनापूर्ण ट्रैफ़िक को फ़िल्टर करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू करने पर विचार करें। सुरक्षा समुदाय को MetaGPT टीम पर इस महत्वपूर्ण भेद्यता को हल करने को प्राथमिकता देने के लिए दबाव डालना चाहिए।