प्लेटफ़ॉर्म
python
घटक
metagpt
में ठीक किया गया
0.8.1
0.8.2
0.8.3
MetaGPT के संस्करण 0.8.2 से पहले, Mineflayer HTTP API के evaluateCode फ़ंक्शन में एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता पाई गई है। यह भेद्यता हमलावरों को अनधिकृत क्रियाएं करने की अनुमति दे सकती है। प्रभावित संस्करण 0.8.2 या उससे पहले के हैं। इस समस्या को जल्द से जल्द संबोधित करने के लिए MetaGPT को अपडेट करने की सलाह दी जाती है।
यह CSRF भेद्यता हमलावरों को उपयोगकर्ता की जानकारी के बिना, उपयोगकर्ता के खाते में अनधिकृत क्रियाएं करने की अनुमति देती है। एक हमलावर उपयोगकर्ता को एक दुर्भावनापूर्ण वेबसाइट पर रीडायरेक्ट कर सकता है जो स्वचालित रूप से MetaGPT एप्लिकेशन के साथ अनुरोध भेजता है, जिससे हमलावर उपयोगकर्ता की ओर से डेटा को संशोधित या हटा सकता है। यह डेटा हानि, खाता समझौता और अन्य गंभीर परिणाम उत्पन्न कर सकता है। चूंकि यह भेद्यता दूर से शोषण योग्य है और सार्वजनिक रूप से खुलासा की गई है, इसलिए इसका शोषण होने का खतरा अधिक है।
यह भेद्यता सार्वजनिक रूप से खुलासा की गई है और इसका शोषण किया जा सकता है। KEV (CISA Known Exploited Vulnerabilities) सूची में शामिल होने की संभावना है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, जिससे हमलावरों के लिए इस भेद्यता का शोषण करना आसान हो जाता है। NVD (National Vulnerability Database) और CISA (Cybersecurity and Infrastructure Security Agency) ने इस भेद्यता के बारे में जानकारी जारी की है।
Organizations and individuals utilizing MetaGPT FoundationAgents versions 0.8.2 and earlier, particularly those integrating the Mineflayer HTTP API with other systems, are at significant risk. Shared hosting environments where multiple users share the same MetaGPT instance are especially vulnerable, as an attacker could potentially exploit the vulnerability on behalf of other users.
• python / server:
import requests
from bs4 import BeautifulSoup
# Example: Check for suspicious requests to the API
url = "http://your-metagpt-instance/api/mineflayer"
response = requests.get(url)
if response.status_code == 200:
soup = BeautifulSoup(response.content, 'html.parser')
# Look for unexpected parameters or actions
if soup.find('param', {'name': 'malicious_action'}) is not None:
print("Potential CSRF attack detected!")• generic web:
curl -I http://your-metagpt-instance/api/mineflayer | grep -i 'referer'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (0% शतमक)
CISA SSVC
CVSS वेक्टर
MetaGPT को नवीनतम संस्करण में अपडेट करना इस भेद्यता को दूर करने का सबसे प्रभावी तरीका है। यदि अपडेट करना तत्काल संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग CSRF हमलों को रोकने के लिए किया जा सकता है। WAF को उन अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए जो CSRF टोकन की कमी या अमान्य CSRF टोकन के साथ आते हैं। इसके अतिरिक्त, एप्लिकेशन-स्तरीय सुरक्षा उपायों, जैसे कि उपयोगकर्ता इनपुट को मान्य करना और संवेदनशील क्रियाओं के लिए दो-कारक प्रमाणीकरण लागू करना, जोखिम को कम करने में मदद कर सकता है। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, एप्लिकेशन का परीक्षण करें।
MetaGPT के एक ठीक किए गए संस्करण में अपग्रेड करें जो इस क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता को ठीक करता है। अपडेट के बारे में अधिक जानकारी के लिए परियोजना रिपॉजिटरी या रिलीज़ नोट्स देखें। जोखिम को कम करने के लिए, इनपुट सत्यापन और CSRF सुरक्षा जैसे अतिरिक्त सुरक्षा उपाय लागू करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-6109 MetaGPT के संस्करण 0.8.2 से पहले के संस्करणों में Mineflayer HTTP API में एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है, जिससे हमलावर अनधिकृत क्रियाएं कर सकते हैं।
यदि आप MetaGPT के संस्करण 0.8.2 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
MetaGPT को नवीनतम संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो WAF का उपयोग करें और एप्लिकेशन-स्तरीय सुरक्षा उपायों को लागू करें।
यह भेद्यता सार्वजनिक रूप से खुलासा की गई है और इसका शोषण किया जा सकता है।
MetaGPT परियोजना की वेबसाइट या GitHub रिपॉजिटरी पर आधिकारिक सलाहकार की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।