Platform
python
Component
magic-wormhole
Opgelost in
0.21.1
0.23.0
CVE-2026-32116 is een kwetsbaarheid in magic-wormhole die het mogelijk maakt voor een kwaadwillende afzender om kritieke lokale bestanden te overschrijven bij het ontvangen van een bestand (wormhole receive). Dit kan leiden tot compromittering van het systeem van de ontvanger. De kwetsbaarheid treft versies van magic-wormhole tot en met 0.22.0 en is verholpen in versie 0.23.0.
Een aanvaller kan deze kwetsbaarheid misbruiken door een bestand te verzenden via magic-wormhole naar een slachtoffer. Wanneer het slachtoffer dit bestand ontvangt, kan de aanvaller kritieke lokale bestanden overschrijven, zoals ~/.ssh/authorizedkeys en .bashrc. Het overschrijven van ~/.ssh/authorizedkeys stelt de aanvaller in staat om zonder wachtwoord toegang te krijgen tot het systeem van het slachtoffer. Het overschrijven van .bashrc kan leiden tot het uitvoeren van kwaadaardige code bij het openen van een nieuwe terminal. Het is belangrijk op te merken dat alleen de afzender van het bestand deze aanval kan uitvoeren, aangezien het wormhole protocol andere partijen uitsluit.
Deze kwetsbaarheid is openbaar bekend en er zijn geen bekende actieve campagnes gemeld. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar. De kwetsbaarheid is opgenomen in het CISA KEV catalogus. De publicatiedatum van de CVE is 2026-03-13.
Users who rely on magic-wormhole for secure file transfer, particularly those using it to transfer sensitive data or manage SSH keys, are at risk. Systems with legacy configurations or those running older versions of Python where upgrading is difficult are also more vulnerable. Shared hosting environments where multiple users share the same system and SSH keys could experience widespread compromise if exploited.
• python / system:
python3 -c 'import magic_wormhole; print(magic_wormhole.__version__)'• python / system: Check for unusual file modifications in ~/.ssh/authorized_keys and .bashrc using git diff or similar version control tools.
• python / system: Monitor process execution for magic_wormhole with unusual command-line arguments.
• python / system: Review system logs for errors or warnings related to file overwrites during wormhole receive operations.
disclosure
Exploit Status
EPSS
0.08% (25% percentiel)
CISA SSVC
De primaire mitigatie is het upgraden naar magic-wormhole versie 0.23.0 of hoger, waarin de kwetsbaarheid is verholpen. Indien een upgrade direct problemen veroorzaakt, kan een rollback naar een eerdere veilige versie (indien beschikbaar) een tijdelijke oplossing bieden. Het is raadzaam om de integriteit van de ~/.ssh/authorized_keys en .bashrc bestanden regelmatig te controleren. Er zijn momenteel geen specifieke WAF-regels of detectie signatures beschikbaar, maar het monitoren van magic-wormhole processen op verdachte activiteit is aan te raden. Na de upgrade, controleer de functionaliteit van magic-wormhole om er zeker van te zijn dat de upgrade geen onverwachte problemen veroorzaakt.
Actualice Magic Wormhole a la versión 0.23.0 o superior. Esto solucionará la vulnerabilidad que permite la sobrescritura de archivos locales arbitrarios por parte de un remitente malicioso. Puede actualizar usando pip: `pip install --upgrade magic-wormhole`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-32116 is a high-severity vulnerability in magic-wormhole versions up to 0.22.0 that allows a malicious sender to overwrite critical local files during a file transfer, potentially compromising the receiver's system.
You are affected if you are using magic-wormhole versions 0.22.0 or earlier. Upgrade to 0.23.0 or later to resolve the issue.
Upgrade magic-wormhole to version 0.23.0 or later. This resolves the file overwrite vulnerability.
There is currently no evidence of active exploitation, but the potential for exploitation exists if a proof-of-concept is released.
Refer to the magic-wormhole project's official release notes and security advisories on their GitHub repository for the most up-to-date information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.