Platform
python
Component
mesa
Opgelost in
3.5.1
CVE-2026-29075 is een code execution kwetsbaarheid in Mesa, een open-source Python bibliotheek voor agent-based modeling. Deze kwetsbaarheid stelt een aanvaller in staat om code uit te voeren op een bevoorrechte runner door onbetrouwbare code uit te checken in de benchmarks.yml workflow. De kwetsbaarheid treft versies van Mesa tot en met 3.5.0. Een patch is beschikbaar via commit c35b8cd.
Een succesvolle exploitatie van CVE-2026-29075 kan leiden tot volledige controle over de bevoorrechte runner waarop Mesa draait. Dit betekent dat een aanvaller potentieel toegang kan krijgen tot gevoelige data, systemen kan compromitteren en lateraal kan bewegen binnen het netwerk. De impact is aanzienlijk, vooral in omgevingen waar Mesa wordt gebruikt voor kritieke simulaties of waar de bevoorrechte runner toegang heeft tot gevoelige resources. De mogelijkheid om code uit te voeren op een bevoorrechte runner maakt dit een ernstige dreiging, vergelijkbaar met kwetsbaarheden die toegang tot root-rechten verlenen.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-03-06. Er is momenteel geen informatie beschikbaar over actieve exploits in de wild, maar de publicatie van de kwetsbaarheid en de relatief eenvoudige exploitatie-vector maken het waarschijnlijk dat deze in de toekomst zal worden misbruikt. De KEV status is momenteel onbekend. Er zijn geen publieke proof-of-concept exploits bekend op het moment van schrijven.
Organizations and individuals utilizing Mesa for agent-based modeling, particularly those running simulations in environments with limited access controls or where the runner environment has elevated privileges. Researchers and developers who have customized the benchmarks.yml workflow are also at increased risk.
• python / supply-chain:
import os
import subprocess
# Check Mesa version
result = subprocess.run(['pip', 'show', 'mesa'], capture_output=True, text=True)
if result.returncode == 0:
mesa_version = result.stdout.split('Version: ')[1].split('\n')[0]
if float(mesa_version) <= 3.5:
print("Mesa version is vulnerable.")
else:
print("Mesa is not installed.")• generic web: Check for unusual files or modifications within the Mesa installation directory, particularly related to the benchmarks.yml workflow.
disclosure
Exploit Status
EPSS
0.12% (31% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-29075 is het upgraden naar een versie van Mesa die de patch bevat (commit c35b8cd). Indien een upgrade momenteel niet mogelijk is, overweeg dan het tijdelijk uitschakelen van de benchmarks.yml workflow of het beperken van de toegang tot de bevoorrechte runner. Controleer de Mesa documentatie voor specifieke configuratie-opties die de impact van de kwetsbaarheid kunnen verminderen. Na de upgrade, bevestig de correcte werking door de benchmarks.yml workflow opnieuw uit te voeren met een vertrouwde codebasis.
Actualice la biblioteca Mesa a una versión posterior al commit c35b8cd. Esto solucionará la vulnerabilidad de ejecución de código al extraer código no confiable en el flujo de trabajo `benchmarks.yml`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-29075 is a remote code execution vulnerability affecting Mesa versions up to 3.5.0. It allows attackers to execute arbitrary code within a privileged runner due to insecure handling of untrusted code in the benchmarks.yml workflow.
You are affected if you are using Mesa version 3.5.0 or earlier. Check your Mesa version using pip show mesa and upgrade if necessary.
Upgrade to a patched version of Mesa containing commit c35b8cd. If immediate upgrade is not possible, disable the benchmarks.yml workflow or restrict runner access.
There are currently no confirmed reports of active exploitation, but the vulnerability's RCE nature warrants prompt remediation.
Refer to the Mesa project's official website and GitHub repository for updates and advisories related to CVE-2026-29075.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.