プラットフォーム
python
コンポーネント
foundationagents-metagpt
修正版
0.8.1
0.8.2
CVE-2026-5973は、MetaGPTにおけるCommand Injection脆弱性です。この脆弱性は、getmimetype関数において発生し、攻撃者がリモートからコマンドを実行する可能性があります。この問題は、MetaGPTのバージョン0.8.0から0.8.1に影響を与えます。現時点では修正バージョンは提供されていません。
MetaGPT FoundationAgentsのバージョン0.8.1までの脆弱性において、コマンドインジェクションの脆弱性が確認されました。この脆弱性は、metagpt/utils/common.pyファイルのgetmimetype関数に存在します。攻撃者は、この関数の入力データを操作することで、この脆弱性を悪用し、基盤となるシステム上で任意のオペレーティングシステムコマンドを実行できる可能性があります。この脆弱性の深刻度は、CVSSによると7.3と評価されています。この脆弱性がすでに公開されており、プロジェクトが修正プログラムやパッチを提供していないことは特に懸念されます。これにより、悪用されるリスクが高まります。早期に問題点を指摘したプルリクエストへのMetaGPTチームの対応がないことも、状況を悪化させています。
この脆弱性は、getmimetype関数に提供される入力データを操作することによって悪用されます。攻撃者は、組み込みのオペレーティングシステムコマンドを含む特別に設計された入力を作成できます。関数がこの悪意のある入力を処理すると、組み込みのコマンドが実行され、攻撃者がシステムを制御できるようになります。この脆弱性がリモートであり、公開されているということは、攻撃者が物理的にシステムにアクセスする必要なしに、この脆弱性を簡単に悪用できることを意味します。公開されていることで、自動化された攻撃の可能性が高まります。
Organizations and individuals deploying MetaGPT versions 0.8.0 and 0.8.1 are at risk. This includes developers using MetaGPT in their projects, as well as those relying on MetaGPT for automated tasks or integrations. Environments with limited network segmentation or inadequate input validation are particularly vulnerable.
• python / server:
import os
import subprocess
def check_mime_type(filename):
try:
result = subprocess.run(['file', filename], capture_output=True, text=True, check=True)
mime_type = result.stdout.split(';')[0].strip()
return mime_type
except subprocess.CalledProcessError as e:
print(f"Error: {e}")
return None
# Example usage (use with caution and controlled environment)
filename = input("Enter filename: ")
mime_type = check_mime_type(filename)
if mime_type:
print(f"MIME type: {mime_type}")
else:
print("Could not determine MIME type.")• linux / server:
journalctl -u metagpt -g 'command injection' # Check for suspicious command executionsdisclosure
エクスプロイト状況
EPSS
1.76% (83% パーセンタイル)
CISA SSVC
CVSS ベクトル
MetaGPTチームから公式な修正プログラムが提供されていないため、直近の軽減策は、パッチがリリースされるまでMetaGPT FoundationAgentsの使用を避けることです。使用が不可欠な場合は、ネットワークの分離やMetaGPTを実行するために使用されるアカウントの権限の制限など、追加のセキュリティコントロールを実装することをお勧めします。システムを悪用されている兆候がないか積極的に監視することが重要です。さらに、悪意のあるトラフィックをフィルタリングするために、Webアプリケーションファイアウォール(WAF)の実装を検討してください。セキュリティコミュニティは、MetaGPTチームにこの重要な脆弱性の解決を優先するように圧力をかける必要があります。
Actualice a una versión corregida de MetaGPT que solucione la vulnerabilidad de inyección de comandos del sistema operativo en la función get_mime_type. El proyecto FoundationAgents ha sido notificado, pero aún no ha proporcionado una actualización. Consulte las referencias proporcionadas para obtener más información y posibles soluciones alternativas.
脆弱性分析と重要アラートをメールでお届けします。
これは、攻撃者が基盤となるオペレーティングシステム上で任意のコマンドを実行できる脆弱性です。
攻撃者は、あなたのシステムを制御したり、機密データを盗んだり、操作を妨害したりする可能性があります。
パッチがリリースされるまで、MetaGPT FoundationAgentsの使用を避けてください。使用が不可欠な場合は、追加のセキュリティコントロールを実装してください。
すぐにシステムをネットワークから隔離し、セキュリティ専門家に助けを求めてください。
MetaGPTのセキュリティ発表と業界のセキュリティニュースソースを常に確認してください。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。