Plataforma
python
Componente
scrapegraph-ai
Corrigido em
1.0.1
1.1.1
1.2.1
1.3.1
1.4.1
1.5.1
1.6.1
1.7.1
1.8.1
1.9.1
1.10.1
1.11.1
1.12.1
1.13.1
1.14.1
1.15.1
1.16.1
1.17.1
1.18.1
1.19.1
1.20.1
1.21.1
1.22.1
1.23.1
1.24.1
1.25.1
1.26.1
1.27.1
1.28.1
1.29.1
1.30.1
1.31.1
1.32.1
1.33.1
1.34.1
1.35.1
1.36.1
1.37.1
1.38.1
1.39.1
1.40.1
1.41.1
1.42.1
1.43.1
1.44.1
1.45.1
1.46.1
1.47.1
1.48.1
1.49.1
1.50.1
1.51.1
1.52.1
1.53.1
1.54.1
1.55.1
1.56.1
1.57.1
1.58.1
1.59.1
1.60.1
1.61.1
1.62.1
1.63.1
1.64.1
1.65.1
1.66.1
1.67.1
1.68.1
1.69.1
1.70.1
1.71.1
1.72.1
1.73.1
1.74.1
Uma vulnerabilidade de Command Injection foi identificada no ScrapeGraphAI, afetando versões até 1.74.0. A falha reside na função createsandboxandexecute do arquivo scrapegraphai/nodes/generatecode_node.py, dentro do componente GenerateCodeNode. Um atacante pode explorar essa vulnerabilidade para executar comandos arbitrários no sistema, comprometendo a segurança da aplicação. A exploração pode ser realizada remotamente e um exploit público já foi divulgado. A versão 1.10.0 corrige esta vulnerabilidade.
A vulnerabilidade CVE-2026-5532 afeta o ScrapeGraphAI em versões até 1.74.0, apresentando uma vulnerabilidade de injeção de comandos do sistema operacional (SO). Essa falha reside na função createsandboxandexecute do arquivo scrapegraphai/nodes/generatecode_node.py, especificamente no componente GenerateCodeNode. Um atacante remoto pode explorar essa vulnerabilidade para executar comandos arbitrários no sistema subjacente, comprometendo potencialmente a confidencialidade, integridade e disponibilidade de dados e recursos. A divulgação pública de um exploit funcional agrava a situação, aumentando o risco de ataques. A falta de resposta do fornecedor dificulta a obtenção de informações oficiais sobre a gravidade e o impacto real da vulnerabilidade.
A vulnerabilidade reside na função createsandboxand_execute, usada para executar código gerado. Um atacante pode manipular a entrada para esta função para injetar comandos do sistema operacional que serão executados com os privilégios do processo ScrapeGraphAI. A natureza remota da exploração significa que um atacante não precisa de acesso físico ao sistema para comprometê-lo. A divulgação pública do exploit facilita a exploração por atacantes com diferentes níveis de habilidade técnica. A falta de resposta do fornecedor indica um possível abandono do projeto, complicando ainda mais o gerenciamento da vulnerabilidade.
Organizations utilizing ScrapeGraphAI in production environments, particularly those with internet-facing deployments, are at risk. Systems running older versions (1.0.0–1.74.0) are especially vulnerable. Environments where ScrapeGraphAI is used to process untrusted data are at higher risk.
• python / server:
import os
import subprocess
def check_scrapegraphai_vulnerability():
try:
# Attempt to trigger the vulnerable function with malicious input
result = subprocess.run(['scrapegraph-ai', 'generate_code_node', '; ls -la'], capture_output=True, text=True, timeout=5)
if 'ls -la' in result.stdout:
print("CVE-2026-5532 detected: Command injection possible!")
else:
print("CVE-2026-5532 not detected.")
except Exception as e:
print(f"Error checking vulnerability: {e}")
check_scrapegraphai_vulnerability()• linux / server:
ps aux | grep scrapegraph-ai | grep -q 'create_sandbox_and_execute' && echo "CVE-2026-5532 potentially present: Check for suspicious commands in scrapegraph-ai processes" || echo "CVE-2026-5532 not detected."disclosure
poc
patch
Status do Exploit
EPSS
0.86% (percentil 75%)
CISA SSVC
Vetor CVSS
A mitigação imediata recomendada é atualizar o ScrapeGraphAI para a versão 1.10.0 ou superior, que aborda essa vulnerabilidade. Se a atualização não for possível imediatamente, considere implementar medidas de segurança adicionais, como restringir o acesso ao aplicativo apenas a usuários autorizados, implementar um firewall para controlar o tráfego de rede e monitorar a atividade do sistema em busca de sinais de exploração. Além disso, revise e fortaleça o código-fonte para evitar futuras vulnerabilidades de injeção de comandos. Dada a falta de resposta do fornecedor, os usuários devem realizar suas próprias avaliações de risco e aplicar as medidas de segurança mais apropriadas para seu ambiente.
Actualice a la versión 1.10.0 o superior para mitigar la vulnerabilidad de inyección de comandos del sistema operativo. Revise el código fuente para identificar y corregir la causa raíz de la vulnerabilidad, asegurándose de que la entrada del usuario se valide y escape correctamente antes de ser utilizada en comandos del sistema operativo. Implemente medidas de seguridad adicionales, como el uso de un entorno de ejecución aislado, para limitar el impacto potencial de la vulnerabilidad.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Significa que um atacante pode executar comandos arbitrários no servidor onde o ScrapeGraphAI é executado, como se fosse um usuário legítimo.
Implemente medidas de segurança adicionais, como firewalls, controles de acesso e monitoramento de atividade.
A falta de resposta é preocupante e sugere possíveis problemas com a manutenção do projeto.
Verifique a versão do ScrapeGraphAI que você está usando. Se for anterior à 1.10.0, você está vulnerável.
Consulte a base de dados de vulnerabilidades CVE (Common Vulnerabilities and Exposures) para CVE-2026-5532.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.