HIGHCVE-2026-5970CVSS 7.3

MetaGPT には Injection issue があります

プラットフォーム

python

コンポーネント

foundationagents

修正版

0.8.1

0.8.2

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

FoundationAgents MetaGPTのバージョン0.8.0から0.8.1において、HumanEvalBenchmark/MBPPBenchmarkコンポーネントのcheck_solution関数にコードインジェクションの脆弱性が存在します。この脆弱性は、攻撃者が悪意のあるコードを実行することを可能にし、システムへの深刻な影響をもたらす可能性があります。現時点では、開発者への通知は行われていますが、修正パッチはリリースされていません。攻撃コードが公開されているため、早急な対応が必要です。

影響と攻撃シナリオ

このコードインジェクション脆弱性を悪用されると、攻撃者はFoundationAgents MetaGPTの実行環境内で任意のコードを実行できるようになります。これにより、機密情報の窃取、システムの改ざん、さらにはシステム全体の制御権の奪取といった深刻な被害が発生する可能性があります。特に、MetaGPTが重要なタスクを実行している環境では、その影響は甚大となるでしょう。公開されている悪用コードの存在は、攻撃者が容易にこの脆弱性を悪用できることを示しており、早急な対応が求められます。類似の脆弱性では、攻撃者がシステムリソースを独占し、サービス拒否攻撃（DoS）を引き起こす事例も報告されています。

悪用の状況

この脆弱性は、2026年4月9日に公開され、悪用コードが公開されています。CISAのKEVリストへの登録状況は不明ですが、悪用コードの公開により、攻撃のリスクは高まっています。NVD（National Vulnerability Database）への登録も確認されています。攻撃者は、公開されている悪用コードを利用して、FoundationAgents MetaGPTを標的とした攻撃を開始する可能性があります。

リスク対象者翻訳中…

Organizations and individuals utilizing FoundationAgents MetaGPT versions 0.8.0 through 0.8.1, particularly those deploying it in environments handling sensitive data or critical infrastructure, are at immediate risk. Those relying on MetaGPT for automated code evaluation or testing are especially vulnerable.

検出手順翻訳中…

• python / server:

import os
import subprocess
# Check for the vulnerable function
with open('/path/to/your/foundationagents/HumanEvalBenchmark/MBPPBenchmark.py', 'r') as f:
    if 'check_solution' in f.read():
        print('Vulnerable function detected!')

• python / supply-chain:

import subprocess
result = subprocess.run(['pip', 'show', 'foundationagents'], capture_output=True, text=True)
if 'Version: 0.8.0' in result.stdout or 'Version: 0.8.1' in result.stdout:
    print('FoundationAgents version is vulnerable!')

攻撃タイムライン

2026-04-09Disclosure
disclosure
2026-04-09PoC
poc

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.07% (21% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントfoundationagents

ベンダーFoundationAgents

影響範囲修正版

0.8.0 – 0.8.00.8.1

0.8.1 – 0.8.10.8.2

0.8.1—

弱点分類 (CWE)

CWE-94 CWE-74

タイムライン

予約済み2026-04-09
公開日2026-04-09
EPSS 更新日2026-04-17

未パッチ — 公開から45日経過

緩和策と回避策

修正パッチがリリースされるまでは、以下の緩和策を講じることを推奨します。まず、FoundationAgents MetaGPTの使用を一時的に停止することを検討してください。次に、入力データの検証を強化し、不正なコードが実行される可能性を低減してください。WAF（Web Application Firewall）を導入し、悪意のあるリクエストをブロックすることも有効です。また、システムログを監視し、異常なアクティビティを検知するためのルールを設定してください。パッチがリリースされたら、速やかに適用し、脆弱性が修正されていることを確認してください。適用後、正常に動作することを確認し、セキュリティログを監視してください。

修正方法

MetaGPT の `check_solution` 関数におけるコードインジェクションの脆弱性は、修正されたバージョンにアップデートすることで軽減できます。プロジェクトが対応していないため、影響を受けるソースコードを確認し、手動でセキュリティパッチを適用するか、公式アップデートが公開されるまで脆弱な関数の使用を避けることをお勧めします。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5970 — コードインジェクション in FoundationAgents MetaGPTとは何ですか？

CVE-2026-5970は、FoundationAgents MetaGPTのバージョン0.8.0–0.8.1におけるHumanEvalBenchmark/MBPPBenchmarkコンポーネントのcheck_solution関数におけるコードインジェクション脆弱性です。攻撃者はこの脆弱性を悪用して、任意のコードを実行できます。

CVE-2026-5970 in FoundationAgents MetaGPTに影響を受けますか？

FoundationAgents MetaGPTのバージョン0.8.0–0.8.1を使用している場合は、影響を受けます。早急に緩和策を講じるか、修正パッチがリリースされたら適用してください。

CVE-2026-5970 in FoundationAgents MetaGPTを修正するにはどうすればよいですか？

修正パッチがリリースされるまで、入力データの検証強化、WAFの導入、システムログの監視などの緩和策を講じてください。パッチがリリースされたら、速やかに適用してください。

CVE-2026-5970は積極的に悪用されていますか？

悪用コードが公開されているため、積極的に悪用される可能性があります。早急な対応が必要です。

CVE-2026-5970に関するFoundationAgents MetaGPTの公式アドバイザリはどこで入手できますか？

FoundationAgents MetaGPTの公式ウェブサイトまたはGitHubリポジトリでアドバイザリをご確認ください。