CVE-2026-5970 描述了 FoundationAgents MetaGPT 中一个严重的代码注入漏洞。该漏洞影响版本 0.8.0 到 0.8.1,攻击者可以通过操纵 HumanEvalBenchmark/MBPPBenchmark 组件的 check_solution 函数执行恶意代码。目前,该漏洞已公开,存在被利用的风险。开发者尚未对此问题做出回应。
该代码注入漏洞允许攻击者远程执行任意代码,从而完全控制受影响的系统。攻击者可以窃取敏感数据,安装恶意软件,甚至利用该漏洞进行横向移动,攻击整个网络。由于该漏洞已公开,且存在利用代码,攻击风险极高。攻击者可能利用该漏洞获取对 MetaGPT 系统的完全控制权,并可能进一步攻击依赖于该系统的其他应用程序或服务。此漏洞的潜在影响范围广泛,可能导致数据泄露、服务中断和声誉损害。
该漏洞已公开,存在利用代码,表明攻击者可能正在积极利用该漏洞。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的风险。建议立即采取措施缓解风险,以防止潜在的攻击。
Organizations and individuals utilizing FoundationAgents MetaGPT versions 0.8.0 through 0.8.1, particularly those deploying it in environments handling sensitive data or critical infrastructure, are at immediate risk. Those relying on MetaGPT for automated code evaluation or testing are especially vulnerable.
• python / server:
import os
import subprocess
# Check for the vulnerable function
with open('/path/to/your/foundationagents/HumanEvalBenchmark/MBPPBenchmark.py', 'r') as f:
if 'check_solution' in f.read():
print('Vulnerable function detected!')• python / supply-chain:
import subprocess
result = subprocess.run(['pip', 'show', 'foundationagents'], capture_output=True, text=True)
if 'Version: 0.8.0' in result.stdout or 'Version: 0.8.1' in result.stdout:
print('FoundationAgents version is vulnerable!')disclosure
poc
漏洞利用状态
EPSS
0.07% (21% 百分位)
CISA SSVC
CVSS 向量
由于开发者尚未提供官方修复方案,建议采取以下缓解措施。首先,如果可能,立即停止使用受影响的版本。其次,实施严格的输入验证,以防止恶意代码注入。可以使用 Web 应用程序防火墙 (WAF) 或代理服务器来过滤恶意请求。此外,监控系统日志,查找可疑活动。由于该漏洞已公开,建议密切关注安全社区的最新信息,并根据需要调整缓解措施。在升级到修复版本后,请验证系统是否不再易受攻击。
MetaGPT `check_solution` 函数中的代码注入漏洞可以通过更新到修复版本来缓解。由于项目尚未响应,建议审查受影响的代码源并手动应用安全补丁,或在发布官方更新之前避免使用该漏洞函数。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-5970 是 FoundationAgents MetaGPT (0.8.0–0.8.1) 中发现的一个高危代码注入漏洞,攻击者可以通过 HumanEvalBenchmark/MBPPBenchmark 组件的 check_solution 函数远程执行恶意代码。
如果您正在使用 FoundationAgents MetaGPT 的 0.8.0 到 0.8.1 版本,则可能受到此漏洞的影响。请立即评估您的系统并采取缓解措施。
由于开发者尚未提供官方修复方案,建议立即停止使用受影响的版本,并实施输入验证和 WAF 等缓解措施。
该漏洞已公开,且存在利用代码,表明攻击者可能正在积极利用该漏洞。
由于开发者尚未对此问题做出回应,目前没有官方公告。请关注安全社区的最新信息。
上传你的 requirements.txt 文件,立即知道是否受影响。