Plataforma
python
Componente
magic-wormhole
Corrigido em
0.21.1
0.23.0
A vulnerabilidade CVE-2026-32116 afeta o magic-wormhole em versões até 0.22.0. Um atacante, agindo como remetente de um arquivo, pode explorar essa falha para sobrescrever arquivos locais críticos, incluindo o arquivo de chaves autorizadas do SSH e o arquivo de configuração do Bash. A correção foi implementada na versão 0.23.0, sendo recomendada a atualização imediata.
O impacto primário desta vulnerabilidade reside na possibilidade de um atacante comprometer o sistema receptor. Ao enviar um arquivo malicioso através do comando wormhole send, o atacante pode induzir a sobrescrita de arquivos sensíveis, como ~/.ssh/authorized_keys. A substituição deste arquivo permite ao atacante obter acesso não autorizado ao sistema, pois ele pode adicionar suas próprias chaves SSH e efetuar login sem a necessidade de senha. Além disso, a sobrescrita do arquivo .bashrc pode permitir a execução de comandos arbitrários sempre que um novo terminal for aberto, ampliando o escopo do ataque. É importante ressaltar que a vulnerabilidade é restrita ao remetente do arquivo, o que limita o escopo do ataque a interações diretas com um atacante.
A vulnerabilidade foi divulgada em 2026-03-13. Não há evidências de exploração ativa em campanhas direcionadas, mas a existência de um proof-of-concept (POC) público aumenta o risco de exploração oportunista. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A pontuação de severidade CVSS de 7.5 (ALTO) indica um risco significativo.
Users who rely on magic-wormhole for secure file transfer, particularly those using it to transfer sensitive data or manage SSH keys, are at risk. Systems with legacy configurations or those running older versions of Python where upgrading is difficult are also more vulnerable. Shared hosting environments where multiple users share the same system and SSH keys could experience widespread compromise if exploited.
• python / system:
python3 -c 'import magic_wormhole; print(magic_wormhole.__version__)'• python / system: Check for unusual file modifications in ~/.ssh/authorized_keys and .bashrc using git diff or similar version control tools.
• python / system: Monitor process execution for magic_wormhole with unusual command-line arguments.
• python / system: Review system logs for errors or warnings related to file overwrites during wormhole receive operations.
disclosure
Status do Exploit
EPSS
0.08% (percentil 25%)
CISA SSVC
A mitigação primária para CVE-2026-32116 é a atualização imediata para a versão 0.23.0 do magic-wormhole. Em cenários onde a atualização imediata não é possível, é crucial restringir o acesso ao comando wormhole send apenas a usuários confiáveis. Implementar medidas de segurança adicionais, como a monitorização de alterações nos arquivos ~/.ssh/authorized_keys e .bashrc, pode ajudar a detectar e responder a possíveis ataques. Verifique a integridade dos arquivos após a atualização comparando seus hashes com valores conhecidos e confiáveis.
Atualize Magic Wormhole para a versão 0.23.0 ou superior. Isso corrigirá a vulnerabilidade que permite a sobrescrita de arquivos locais arbitrários por um remetente malicioso. Você pode atualizar usando pip: `pip install --upgrade magic-wormhole`.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-32116 é uma vulnerabilidade que permite a sobrescrita de arquivos críticos em magic-wormhole versões até 0.22.0, possibilitando a comprometer o sistema receptor.
Se você estiver utilizando magic-wormhole em versões anteriores ou igual a 0.22.0, você está afetado por esta vulnerabilidade.
Atualize o magic-wormhole para a versão 0.23.0 ou superior para corrigir a vulnerabilidade. Restrinja o acesso ao comando wormhole send a usuários confiáveis.
Embora não haja evidências de exploração ativa em campanhas direcionadas, a existência de um POC público aumenta o risco de exploração oportunista.
Consulte o repositório oficial do magic-wormhole no GitHub para obter informações e atualizações sobre a vulnerabilidade: [https://github.com/libwormhole/wormhole](https://github.com/libwormhole/wormhole)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.