Plataforma
python
Componente
metagpt
Corrigido em
0.8.1
0.8.2
0.8.3
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi identificada no MetaGPT, especificamente nas versões até 0.8.2. Essa falha reside na função evaluateCode do arquivo metagpt/environment/minecraft/mineflayer/index.js, parte da API HTTP do Mineflayer. Um atacante pode explorar essa vulnerabilidade para executar ações não autorizadas em nome de um usuário autenticado, comprometendo a integridade do sistema. A vulnerabilidade foi divulgada publicamente e pode ser explorada.
A exploração bem-sucedida de CVE-2026-6109 permite a um atacante realizar ações não autorizadas no MetaGPT sem a necessidade de autenticação adicional. Isso pode incluir a modificação de configurações, a execução de comandos arbitrários ou o acesso a dados sensíveis, dependendo das permissões do usuário afetado. O ataque é remoto, o que significa que o atacante não precisa de acesso físico ao sistema. A falta de resposta do projeto aumenta o risco, pois não há correção imediata disponível. A vulnerabilidade se assemelha a outras falhas CSRF, onde a manipulação de requisições HTTP pode levar a consequências graves.
A vulnerabilidade foi divulgada publicamente em 2026-04-11. Um Proof-of-Concept (PoC) pode estar disponível ou ser desenvolvido rapidamente devido à natureza da vulnerabilidade CSRF. A ausência de resposta do projeto MetaGPT indica um risco elevado, pois não há correção imediata disponível. A vulnerabilidade não foi listada no KEV (CISA Known Exploited Vulnerabilities) até o momento, mas a probabilidade de exploração é considerada média devido à divulgação pública e à facilidade de exploração de falhas CSRF.
Organizations and individuals utilizing MetaGPT FoundationAgents versions 0.8.2 and earlier, particularly those integrating the Mineflayer HTTP API with other systems, are at significant risk. Shared hosting environments where multiple users share the same MetaGPT instance are especially vulnerable, as an attacker could potentially exploit the vulnerability on behalf of other users.
• python / server:
import requests
from bs4 import BeautifulSoup
# Example: Check for suspicious requests to the API
url = "http://your-metagpt-instance/api/mineflayer"
response = requests.get(url)
if response.status_code == 200:
soup = BeautifulSoup(response.content, 'html.parser')
# Look for unexpected parameters or actions
if soup.find('param', {'name': 'malicious_action'}) is not None:
print("Potential CSRF attack detected!")• generic web:
curl -I http://your-metagpt-instance/api/mineflayer | grep -i 'referer'disclosure
Status do Exploit
EPSS
0.01% (percentil 0%)
CISA SSVC
Vetor CVSS
Como não há uma correção oficial disponível no momento, a mitigação deve focar em medidas preventivas. Implemente validação rigorosa de requisições, verificando a origem das requisições HTTP para garantir que sejam provenientes de fontes confiáveis. Utilize tokens CSRF para proteger contra ataques de falsificação de requisições. Considere a implementação de uma Web Application Firewall (WAF) para filtrar requisições maliciosas. Monitore os logs do sistema em busca de atividades suspeitas, como requisições inesperadas ou modificações de configuração. A ausência de resposta do projeto requer uma avaliação contínua do risco e a implementação de controles de segurança adicionais.
Atualize para uma versão corrigida do MetaGPT que solucione esta vulnerabilidade de Cross-Site Request Forgery (CSRF). Consulte o repositório do projeto ou as notas da versão para obter mais detalhes sobre a atualização. Implemente medidas de segurança adicionais, como a validação de entrada e a proteção CSRF, para mitigar o risco.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-6109 is a cross-site request forgery (CSRF) vulnerability affecting MetaGPT FoundationAgents versions up to 0.8.2, specifically within the Mineflayer HTTP API, allowing attackers to perform unauthorized actions.
If you are using MetaGPT FoundationAgents version 0.8.2 or earlier, you are potentially affected by this vulnerability. Upgrade as soon as a patch is available.
Currently, no official patch is available. Implement mitigation strategies like input validation, CSRF protection mechanisms, and WAF rules until a fix is released.
Due to the public disclosure and ease of exploitation, CVE-2026-6109 is likely being actively exploited. Monitor your systems closely.
Refer to the MetaGPT project's official channels (GitHub repository, website) for updates and advisories regarding CVE-2026-6109.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.