Malicious dropper in mistralai 2.4.6 PyPI package — GHSA-WX9M-WX4F-4CMG
GitHub · GitHub · GHSA-WX9M-WX4F-4CMG
ID
GHSA-WX9M-WX4F-4CMG
GHSA-WX9M-WX4F-4CMG
Date
Activity
Source
GitHub
GitHub
Fournisseur
GitHub
GitHub
Risque
critical
critical
CVSS
9.6
9.6
Résumé
The `mistralai` PyPI package version `2.4.6` contains a malicious dropper that executes on import on Linux. No `v2.4.6` tag, commit, or release workflow run exists in this repository, the legitimate latest version before the upload was `2.4.5`, and the upload bypassed this repository's normal release pipeline (which uses PyPI Trusted Publishing). The `mistralai` PyPI project is currently quarantined. ## Affected -…
Produit
pip: mistralai
Que faire
Mesures générales et prudentes (vérifiez les détails dans la source officielle) :
- Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
- Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
- Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
- Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.