Plataforma
python
Componente
foundationagents-metagpt
Corrigido em
0.8.1
0.8.2
Uma vulnerabilidade de 'Command Injection' foi descoberta no MetaGPT, uma plataforma de inteligência artificial. Essa falha permite que um atacante execute comandos arbitrários no sistema. A vulnerabilidade afeta versões do MetaGPT entre 0.8.0 e 0.8.1. Não há correção oficial disponível.
Uma vulnerabilidade de injeção de comandos do sistema operacional (OS) foi identificada no MetaGPT FoundationAgents até a versão 0.8.1. Essa vulnerabilidade reside na função getmimetype do arquivo metagpt/utils/common.py. Um atacante remoto pode explorar essa falha manipulando a entrada para esta função, permitindo a execução de comandos arbitrários no sistema subjacente. A gravidade da vulnerabilidade é classificada como 7.3 de acordo com o CVSS. É especialmente preocupante que essa vulnerabilidade já tenha sido divulgada publicamente e que o projeto não tenha fornecido uma solução ou correção, aumentando o risco de exploração ativa. A falta de resposta da equipe do MetaGPT a um pedido de pull request precoce que apontava para o problema agrava a situação.
A vulnerabilidade é explorada por meio da manipulação da entrada fornecida à função getmimetype. Um atacante pode criar uma entrada especialmente projetada contendo comandos do sistema operacional incorporados. Quando a função processa essa entrada maliciosa, ela executa os comandos incorporados, permitindo que o atacante assuma o controle do sistema. O fato de que a exploração é remota e foi divulgada publicamente significa que os atacantes podem facilmente explorar essa vulnerabilidade sem a necessidade de acesso físico ao sistema. A divulgação pública aumenta significativamente a probabilidade de ataques automatizados.
Organizations and individuals deploying MetaGPT versions 0.8.0 and 0.8.1 are at risk. This includes developers using MetaGPT in their projects, as well as those relying on MetaGPT for automated tasks or integrations. Environments with limited network segmentation or inadequate input validation are particularly vulnerable.
• python / server:
import os
import subprocess
def check_mime_type(filename):
try:
result = subprocess.run(['file', filename], capture_output=True, text=True, check=True)
mime_type = result.stdout.split(';')[0].strip()
return mime_type
except subprocess.CalledProcessError as e:
print(f"Error: {e}")
return None
# Example usage (use with caution and controlled environment)
filename = input("Enter filename: ")
mime_type = check_mime_type(filename)
if mime_type:
print(f"MIME type: {mime_type}")
else:
print("Could not determine MIME type.")• linux / server:
journalctl -u metagpt -g 'command injection' # Check for suspicious command executionsdisclosure
Status do Exploit
EPSS
1.76% (percentil 83%)
CISA SSVC
Vetor CVSS
Dado que nenhuma correção oficial foi fornecida pela equipe do MetaGPT, a mitigação imediata envolve evitar o uso do MetaGPT FoundationAgents até que uma versão corrigida seja lançada. Se o uso for essencial, recomenda-se implementar controles de segurança adicionais, como isolamento de rede e limitação dos privilégios da conta usada para executar o MetaGPT. Monitorar ativamente os sistemas em busca de sinais de exploração é crucial. Além disso, considere implementar um firewall de aplicativos web (WAF) para filtrar o tráfego malicioso. A comunidade de segurança deve pressionar a equipe do MetaGPT para priorizar a resolução desta vulnerabilidade crítica.
Actualice a una versión corregida de MetaGPT que solucione la vulnerabilidad de inyección de comandos del sistema operativo en la función get_mime_type. El proyecto FoundationAgents ha sido notificado, pero aún no ha proporcionado una actualización. Consulte las referencias proporcionadas para obtener más información y posibles soluciones alternativas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade que permite a um atacante executar comandos arbitrários no sistema operacional subjacente.
Um atacante pode assumir o controle do seu sistema, roubar dados confidenciais ou interromper as operações.
Evite usar MetaGPT FoundationAgents até que uma versão corrigida seja lançada. Implemente controles de segurança adicionais se o uso for essencial.
Isole imediatamente o sistema da rede e procure ajuda de um profissional de segurança.
Mantenha-se informado sobre os anúncios de segurança do MetaGPT e as fontes de notícias de segurança do setor.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.