平台
nodejs
组件
pi-mono
修复版本
0.58.1
0.58.2
0.58.3
0.58.4
0.58.5
CVE-2026-5556 是 badlogic pi-mono 组件中发现的一个安全漏洞,具体影响到 0.58.0 至 0.58.4 版本。该漏洞源于 packages/coding-agent/src/core/extensions/loader.ts 文件中的 discoverAndLoadExtensions 函数,攻击者可以通过恶意操作实现代码注入。由于该漏洞已公开披露,存在被利用的风险,且供应商未响应。
在 badlogic pi-mono 的 0.58.4 版本及之前版本中检测到代码注入漏洞。该漏洞存在于文件 packages/coding-agent/src/core/extensions/loader.ts 中的 discoverAndLoadExtensions 函数中。攻击者可以操纵此函数将恶意代码注入到系统中。远程利用是可能的,这意味着攻击者无需访问受影响的系统即可利用此漏洞。公开披露的漏洞大大增加了风险,因为它促进了恶意行为者使用该漏洞。供应商对早期通知的缺乏响应加剧了情况,使用户没有官方解决方案或有关潜在补丁或缓解措施的信息。此漏洞可能允许攻击者破坏系统的机密性、完整性和可用性。
漏洞已公开披露,这意味着用于利用漏洞所需的信息可供广泛受众使用。这大大增加了攻击的风险,因为攻击者可以使用可用信息更快、更有效地开发和部署漏洞。该漏洞存在于 discoverAndLoadExtensions 函数中,这表明攻击者可能会通过操纵扩展文件或将恶意代码注入扩展加载过程来利用它。供应商的缺乏响应表明对安全承诺的缺乏,这可能导致更大的攻击暴露。利用的远程性质意味着攻击者可以从世界上的任何地方发起攻击,从而使检测和预防更加困难。
Applications and services built using the pi-mono Node.js package, particularly those handling untrusted input, are at risk. This includes web applications, backend APIs, and any Node.js-based tools that rely on pi-mono for extension loading. Developers using pi-mono in their projects and DevOps teams responsible for managing Node.js deployments are also at risk.
• nodejs / server:
find / -name 'packages/coding-agent/src/core/extensions/loader.ts' -print0 | xargs -0 grep -i 'discoverAndLoadExtensions'• nodejs / server:
npm list pi-mono | grep '0.58.0-0.58.4'• nodejs / server:
journalctl -u your-node-app -g 'pi-mono' --since "1 hour ago"disclosure
漏洞利用状态
EPSS
0.05% (14% 百分位)
CISA SSVC
鉴于供应商缺乏解决方案,强烈建议避免使用 pi-mono,直到发布了修复版本。如果必须使用 pi-mono,则应实施临时缓解措施。这些措施可能包括限制对 discoverAndLoadExtensions 函数的访问、严格验证提供给此函数的任何输入以及持续监控系统是否存在恶意活动的迹象。网络分段和最小权限原则也可以帮助限制潜在利用的影响。重要的是,要随时了解与 pi-mono 相关的任何安全更新,并在发布后立即应用任何可用补丁。供应商的缺乏响应需要积极管理此漏洞。
升级 (pi-mono) 包到已修复的版本。请参考供应商的资源以获取有关已修复版本和升级说明的更多详细信息。
漏洞分析和关键警报直接发送到您的邮箱。
代码注入是一种漏洞类型,允许攻击者将恶意代码注入到系统中,然后将代码执行为合法代码的一部分。
强烈建议停止使用 pi-mono,直到发布了修复版本。如果使用是必要的,请实施建议的缓解措施。
供应商的缺乏响应令人担忧,并使用户没有官方解决方案。建议密切关注情况。
监控您的系统是否存在异常活动,例如未知的进程、意外修改的文件或可疑的网络流量。
虽然没有针对此漏洞的特定工具,但防火墙、入侵检测系统和防病毒软件等标准安全工具可以帮助保护您的系统。
CVSS 向量