プラットフォーム
python
コンポーネント
scrapegraph-ai
修正版
1.0.1
1.1.1
1.2.1
1.3.1
1.4.1
1.5.1
1.6.1
1.7.1
1.8.1
1.9.1
1.10.1
1.11.1
1.12.1
1.13.1
1.14.1
1.15.1
1.16.1
1.17.1
1.18.1
1.19.1
1.20.1
1.21.1
1.22.1
1.23.1
1.24.1
1.25.1
1.26.1
1.27.1
1.28.1
1.29.1
1.30.1
1.31.1
1.32.1
1.33.1
1.34.1
1.35.1
1.36.1
1.37.1
1.38.1
1.39.1
1.40.1
1.41.1
1.42.1
1.43.1
1.44.1
1.45.1
1.46.1
1.47.1
1.48.1
1.49.1
1.50.1
1.51.1
1.52.1
1.53.1
1.54.1
1.55.1
1.56.1
1.57.1
1.58.1
1.59.1
1.60.1
1.61.1
1.62.1
1.63.1
1.64.1
1.65.1
1.66.1
1.67.1
1.68.1
1.69.1
1.70.1
1.71.1
1.72.1
1.73.1
1.74.1
ScrapeGraphAI のバージョン 1.0.0 から 1.74.0 には、createsandboxand_execute 関数におけるコマンドインジェクションの脆弱性が存在します。この脆弱性を悪用されると、攻撃者はリモートから任意のコマンドを実行できる可能性があります。バージョン 1.10.0 で修正されています。
CVE-2026-5532 は、ScrapeGraphAI のバージョン 1.74.0 までの脆弱性であり、オペレーティングシステムコマンドインジェクション (OS) の脆弱性があります。この欠陥は、ファイル scrapegraphai/nodes/generatecodenode.py 内の関数 createsandboxand_execute、特に GenerateCodeNode コンポーネントに存在します。攻撃者はこの脆弱性を悪用して、基盤となるシステム上で任意のコマンドを実行し、データとリソースの機密性、完全性、可用性を損なう可能性があります。機能するエクスプロイトの公開は状況を悪化させ、攻撃のリスクを高めます。ベンダーからの応答がないため、脆弱性の重大度と実際の影響に関する公式情報を入手することが困難になっています。
この脆弱性は、生成されたコードを実行するために使用される関数 createsandboxand_execute にあります。攻撃者は、この関数の入力を操作して、ScrapeGraphAI プロセスの特権で実行されるオペレーティングシステムのコマンドを挿入できます。このエクスプロイトの遠隔操作の性質は、攻撃者がシステムに物理的にアクセスする必要がないことを意味します。エクスプロイトの公開は、さまざまな技術スキルを持つ攻撃者によるエクスプロイトを容易にします。ベンダーからの応答がないことは、プロジェクトの放棄を示唆しており、脆弱性の管理をさらに複雑にします。
Organizations utilizing ScrapeGraphAI in production environments, particularly those with internet-facing deployments, are at risk. Systems running older versions (1.0.0–1.74.0) are especially vulnerable. Environments where ScrapeGraphAI is used to process untrusted data are at higher risk.
• python / server:
import os
import subprocess
def check_scrapegraphai_vulnerability():
try:
# Attempt to trigger the vulnerable function with malicious input
result = subprocess.run(['scrapegraph-ai', 'generate_code_node', '; ls -la'], capture_output=True, text=True, timeout=5)
if 'ls -la' in result.stdout:
print("CVE-2026-5532 detected: Command injection possible!")
else:
print("CVE-2026-5532 not detected.")
except Exception as e:
print(f"Error checking vulnerability: {e}")
check_scrapegraphai_vulnerability()• linux / server:
ps aux | grep scrapegraph-ai | grep -q 'create_sandbox_and_execute' && echo "CVE-2026-5532 potentially present: Check for suspicious commands in scrapegraph-ai processes" || echo "CVE-2026-5532 not detected."disclosure
poc
patch
エクスプロイト状況
EPSS
0.86% (75% パーセンタイル)
CISA SSVC
CVSS ベクトル
推奨される即時の軽減策は、ScrapeGraphAI をバージョン 1.10.0 以降に更新することです。このバージョンでは、この脆弱性が修正されています。更新がすぐに不可能な場合は、追加のセキュリティ対策を講じることを検討してください。たとえば、アプリケーションへのアクセスを許可されたユーザーのみに制限し、ネットワークトラフィックを制御するためのファイアウォールを実装し、システムの活動を監視して、エクスプロイトの兆候がないか確認します。さらに、ソースコードをレビューおよび強化して、将来のコマンドインジェクションの脆弱性を防止します。ベンダーからの応答がないため、ユーザーは独自のセキュリティリスクを評価し、環境に最適なセキュリティ対策を適用する必要があります。
Actualice a la versión 1.10.0 o superior para mitigar la vulnerabilidad de inyección de comandos del sistema operativo. Revise el código fuente para identificar y corregir la causa raíz de la vulnerabilidad, asegurándose de que la entrada del usuario se valide y escape correctamente antes de ser utilizada en comandos del sistema operativo. Implemente medidas de seguridad adicionales, como el uso de un entorno de ejecución aislado, para limitar el impacto potencial de la vulnerabilidad.
脆弱性分析と重要アラートをメールでお届けします。
これは、攻撃者が ScrapeGraphAI が実行されているサーバー上で、正規のユーザーであるかのように任意のコマンドを実行できることを意味します。
ファイアウォール、アクセス制御、アクティビティ監視などの追加のセキュリティ対策を実装してください。
応答がないことは懸念事項であり、プロジェクトのメンテナンスに関する潜在的な問題を示唆しています。
使用している ScrapeGraphAI のバージョンを確認してください。1.10.0 より古い場合は、脆弱性があります。
CVE-2026-5532 の Common Vulnerabilities and Exposures (CVE) データベースを参照してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。