Plataforma
python
Componente
mesa
Corrigido em
3.5.1
O CVE-2026-29075 afeta a biblioteca Mesa, uma ferramenta open-source em Python para modelagem baseada em agentes. Uma vulnerabilidade permite a execução de código em um ambiente privilegiado através do checkout de código não confiável no workflow benchmarks.yml. Essa falha impacta versões do Mesa anteriores ou iguais a 3.5.0 e foi corrigida através do commit c35b8cd.
Um atacante pode explorar esta vulnerabilidade para injetar e executar código malicioso dentro do ambiente privilegiado do runner do Mesa. Isso pode levar ao comprometimento completo do sistema, permitindo a exfiltração de dados sensíveis, instalação de malware ou até mesmo o controle total do servidor. A exploração bem-sucedida pode resultar em um impacto significativo, especialmente em ambientes onde o Mesa é utilizado para simulações críticas ou processamento de dados confidenciais. A possibilidade de execução de código em um contexto privilegiado aumenta significativamente o potencial de dano.
Este CVE foi publicado em 2026-03-06. A probabilidade de exploração é considerada média, dada a natureza da vulnerabilidade e a possibilidade de exploração através de workflows automatizados. Não há relatos públicos de exploração ativa no momento, mas a disponibilidade de um workflow automatizado aumenta o risco. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) até o momento.
Organizations and individuals utilizing Mesa for agent-based modeling, particularly those running simulations in environments with limited access controls or where the runner environment has elevated privileges. Researchers and developers who have customized the benchmarks.yml workflow are also at increased risk.
• python / supply-chain:
import os
import subprocess
# Check Mesa version
result = subprocess.run(['pip', 'show', 'mesa'], capture_output=True, text=True)
if result.returncode == 0:
mesa_version = result.stdout.split('Version: ')[1].split('\n')[0]
if float(mesa_version) <= 3.5:
print("Mesa version is vulnerable.")
else:
print("Mesa is not installed.")• generic web: Check for unusual files or modifications within the Mesa installation directory, particularly related to the benchmarks.yml workflow.
disclosure
Status do Exploit
EPSS
0.12% (percentil 31%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar a biblioteca Mesa para a versão corrigida, contendo o commit c35b8cd. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desabilitar temporariamente o workflow benchmarks.yml ou restringir o acesso ao código checkout para fontes confiáveis. Implementar controles de acesso rigorosos ao ambiente do runner também pode ajudar a limitar o impacto de uma possível exploração. Monitore os logs do sistema em busca de atividades suspeitas relacionadas ao Mesa.
Actualice la biblioteca Mesa a una versión posterior al commit c35b8cd. Esto solucionará la vulnerabilidad de ejecución de código al extraer código no confiable en el flujo de trabajo `benchmarks.yml`.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-29075 is a remote code execution vulnerability affecting Mesa versions up to 3.5.0. It allows attackers to execute arbitrary code within a privileged runner due to insecure handling of untrusted code in the benchmarks.yml workflow.
You are affected if you are using Mesa version 3.5.0 or earlier. Check your Mesa version using pip show mesa and upgrade if necessary.
Upgrade to a patched version of Mesa containing commit c35b8cd. If immediate upgrade is not possible, disable the benchmarks.yml workflow or restrict runner access.
There are currently no confirmed reports of active exploitation, but the vulnerability's RCE nature warrants prompt remediation.
Refer to the Mesa project's official website and GitHub repository for updates and advisories related to CVE-2026-29075.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.