Plataforma
nodejs
Componente
pi-mono
Corrigido em
0.58.1
0.58.2
0.58.3
0.58.4
0.58.5
Uma vulnerabilidade de injeção de código foi identificada no pi-mono, um pacote Node.js, nas versões de 0.58.0 a 0.58.4. Essa falha reside na função discoverAndLoadExtensions do arquivo packages/coding-agent/src/core/extensions/loader.ts, permitindo que um atacante execute código arbitrário. A exploração remota é possível e já foi divulgada publicamente, representando um risco significativo para sistemas que utilizam essa biblioteca.
A injeção de código permite que um atacante execute comandos arbitrários no sistema onde o pi-mono está sendo executado. Isso pode levar ao roubo de informações confidenciais, como chaves de API, senhas e dados de usuários. Um atacante também pode usar essa vulnerabilidade para instalar malware, comprometer outros sistemas na rede ou realizar ataques de negação de serviço (DoS). Dada a natureza da injeção de código, o impacto pode ser devastador, especialmente em ambientes de produção.
A vulnerabilidade foi divulgada publicamente em 2026-04-05, e um proof-of-concept (PoC) já está disponível. A ausência de resposta do fornecedor agrava a situação, indicando que uma correção imediata pode não estar disponível. A probabilidade de exploração ativa é considerada alta devido à facilidade de exploração e à disponibilidade pública do PoC. Não foi adicionada ao KEV (CISA Known Exploited Vulnerabilities) até o momento.
Applications and services built using the pi-mono Node.js package, particularly those handling untrusted input, are at risk. This includes web applications, backend APIs, and any Node.js-based tools that rely on pi-mono for extension loading. Developers using pi-mono in their projects and DevOps teams responsible for managing Node.js deployments are also at risk.
• nodejs / server:
find / -name 'packages/coding-agent/src/core/extensions/loader.ts' -print0 | xargs -0 grep -i 'discoverAndLoadExtensions'• nodejs / server:
npm list pi-mono | grep '0.58.0-0.58.4'• nodejs / server:
journalctl -u your-node-app -g 'pi-mono' --since "1 hour ago"disclosure
Status do Exploit
EPSS
0.05% (percentil 14%)
CISA SSVC
Vetor CVSS
A mitigação imediata envolve a análise cuidadosa do código-fonte do pi-mono para identificar e remover qualquer código malicioso. Restringir o acesso à função discoverAndLoadExtensions pode ajudar a limitar o impacto da vulnerabilidade. Implementar validação rigorosa de todas as entradas fornecidas à função também é crucial. A solução definitiva é atualizar para uma versão corrigida do pi-mono assim que estiver disponível. Enquanto isso, considere o uso de um Web Application Firewall (WAF) para bloquear tentativas de exploração.
Atualize o pacote pi-mono para uma versão corrigida. Consulte as fontes do fornecedor para obter mais detalhes sobre as versões corrigidas e as instruções de atualização.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-5556 is a code injection vulnerability in the pi-mono Node.js package, affecting versions 0.58.0–0.58.4. It allows attackers to inject malicious code via the discoverAndLoadExtensions function.
You are affected if your project uses pi-mono version 0.58.0 through 0.58.4. Check your package.json file to confirm the version.
Upgrade to a patched version of pi-mono. As of now, no patch is available. Until a patch is released, consider disabling the vulnerable module or implementing input validation.
Yes, a public exploit is available, indicating a high probability of active exploitation.
Check the pi-mono project's GitHub repository and associated documentation for updates and advisories. The vendor has not yet responded to disclosure attempts.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.