HIGHCVE-2026-5973CVSS 7.3

FoundationAgents MetaGPT common.py get_mime_type os 命令注入

平台

python

组件

foundationagents-metagpt

修复版本

0.8.1

0.8.2

AI Confidence: highNVDEPSS 1.8%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-5973 是 MetaGPT 软件中发现的一个安全漏洞，涉及 getmimetype 函数的命令注入。攻击者可以通过构造恶意的输入来执行任意命令。此问题影响 MetaGPT 的 0.8.0 到 0.8.1 版本。目前没有官方补丁。

影响与攻击场景

MetaGPT FoundationAgents 在 0.8.1 版本及之前存在命令注入漏洞。该漏洞位于 metagpt/utils/common.py 文件的 getmimetype 函数中。攻击者可以通过操纵该函数的输入，从而在底层系统上执行任意操作系统命令。根据 CVSS 的评估，该漏洞的严重程度评分为 7.3。尤其令人担忧的是，该漏洞已被公开披露，而项目方尚未提供修复或补丁，这增加了被恶意利用的风险。项目方对早期指出问题的拉取请求的无视，进一步加剧了这一情况。

利用背景

该漏洞是通过操纵提供给 getmimetype 函数的输入来利用的。攻击者可以创建专门设计的输入，其中包含嵌入的操作系统命令。当函数处理此恶意输入时，它将执行嵌入的命令，从而允许攻击者控制系统。由于利用是远程的并且已被公开披露，因此攻击者无需物理访问系统即可轻松利用此漏洞。公开披露大大增加了自动化攻击的可能性。

哪些人处于风险中翻译中…

Organizations and individuals deploying MetaGPT versions 0.8.0 and 0.8.1 are at risk. This includes developers using MetaGPT in their projects, as well as those relying on MetaGPT for automated tasks or integrations. Environments with limited network segmentation or inadequate input validation are particularly vulnerable.

检测步骤翻译中…

• python / server:

import os
import subprocess

def check_mime_type(filename):
    try:
        result = subprocess.run(['file', filename], capture_output=True, text=True, check=True)
        mime_type = result.stdout.split(';')[0].strip()
        return mime_type
    except subprocess.CalledProcessError as e:
        print(f"Error: {e}")
        return None

# Example usage (use with caution and controlled environment)
filename = input("Enter filename: ")
mime_type = check_mime_type(filename)
if mime_type:
    print(f"MIME type: {mime_type}")
else:
    print("Could not determine MIME type.")

• linux / server:

journalctl -u metagpt -g 'command injection' # Check for suspicious command executions

攻击时间线

2026-04-09Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

1.76% (83% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件foundationagents-metagpt

供应商FoundationAgents

影响范围修复版本

0.8.0 – 0.8.00.8.1

0.8.1 – 0.8.10.8.2

弱点分类 (CWE)

CWE-78 CWE-77

时间线

已保留2026-04-09
发布日期2026-04-09
修改日期2026-04-14
EPSS 更新日期2026-04-17

未修复 — 披露已45天

缓解措施和替代方案

由于 MetaGPT 团队尚未提供官方修复程序，因此立即的缓解措施是避免使用 MetaGPT FoundationAgents，直到发布了补丁版本。如果使用是必要的，建议实施额外的安全控制措施，例如网络隔离以及限制用于运行 MetaGPT 的帐户的权限。积极监控系统是否存在被利用的迹象至关重要。此外，请考虑实施 Web 应用程序防火墙 (WAF) 以过滤恶意流量。安全社区应向 MetaGPT 团队施加压力，使其优先解决此关键漏洞。

修复方法翻译中…

Actualice a una versión corregida de MetaGPT que solucione la vulnerabilidad de inyección de comandos del sistema operativo en la función get_mime_type.  El proyecto FoundationAgents ha sido notificado, pero aún no ha proporcionado una actualización.  Consulte las referencias proporcionadas para obtener más información y posibles soluciones alternativas.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-5973 是什么 — MetaGPT 中的 Command Injection？

这是一种漏洞，允许攻击者在底层操作系统上执行任意命令。

MetaGPT 中的 CVE-2026-5973 是否会影响我？

攻击者可能会控制您的系统、窃取敏感数据或中断操作。

如何修复 MetaGPT 中的 CVE-2026-5973？

在发布了补丁版本之前，请避免使用 MetaGPT FoundationAgents。如果使用是必要的，请实施额外的安全控制措施。

CVE-2026-5973 是否正在被积极利用？

立即将系统与网络隔离，并寻求安全专业人员的帮助。

在哪里可以找到 MetaGPT 关于 CVE-2026-5973 的官方安全通告？

随时了解 MetaGPT 的安全公告以及行业安全新闻来源。