CVE-2026-45370

Fiche CVE

Python / pip Injection de commande

Injection de commande dans universal-tool-calling-protocol python-utcp

Cette faille peut permettre à un attaquant de faire exécuter des commandes système non prévues par universal-tool-calling-protocol python-utcp, PyPI utcp-cli.

solution disponible élevé

Détection 100/100 Remédiation 75/100

Catégorisation Python / pip

Injection de commande

Que font les attaquants ? Scénario type

Cette faille peut permettre à un attaquant de faire exécuter des commandes système non prévues par universal-tool-calling-protocol python-utcp, PyPI utcp-cli.

Risque si non traité élevé

Le risque est élevé car le périmètre d’impact peut dépasser l’application et toucher l’hôte sous-jacent.

Vous êtes potentiellement concerné si vous exploitez universal-tool-calling-protocol python-utcp dans l’une des versions ou branches suivantes : < 1.1.2. Détection possible en vérifiant la présence des produits affectés universal-tool-calling-protocol / python-utcp, PyPI / utcp-cli, pip / utcp-cli. Contrôler les versions et l'exposition des composants référencés.

Éditeur	Produit	Écosystème	Versions connues
universal-tool-calling-protocol	python-utcp	n/d	< 1.1.2
PyPI	utcp-cli	PyPI	1.0.0, 1.0.1, 1.0.2, 1.1.0, 1.1.1
pip	utcp-cli	pip	1.1.2

Étape 1
Identifiez les instances de universal-tool-calling-protocol python-utcp présentes dans votre périmètre.
Étape 2
Validez si vos versions déployées correspondent aux branches affectées et si le composant est réellement exposé.
Étape 3
Appliquez une mise à jour vers une version corrigée, par exemple : 1.1.2.
Étape 4
Si une mise à jour immédiate n’est pas possible, réduisez l’exposition du composant et renforcez la surveillance applicative.
Étape 5
Détection possible en vérifiant la présence des produits affectés universal-tool-calling-protocol / python-utcp, PyPI / utcp-cli, pip / utcp-cli. Contrôler les versions et l'exposition des composants référencés.

Confirmation confirmée

CVE confirmée par une source officielle.

Détection disponible

Détection possible en vérifiant la présence des produits affectés universal-tool-calling-protocol / python-utcp, PyPI / utcp-cli, pip / utcp-cli. Contrôler les versions et l'exposition des composants référencés.

Remédiation solution disponible

Version corrigée publiée : 1.1.2.

2026-05-15 23:47 UTC Dernière mise à jour connue mise_a_jour
2026-05-14 20:56 UTC Version corrigée publiée : 1.1.2. solution_available
2026-05-14 20:14 UTC Publication de la CVE publication

Publication: 2026-05-14 20:14 UTC
Dernière mise à jour: 2026-05-15 23:47 UTC
Première détection locale: 2026-06-01 11:32 UTC
Dernier traitement: 2026-06-01 11:32 UTC
Score: 7.7
Source score: NVD cvssMetricV31
Publication fiche: 2026-06-01 11:32 UTC

Référence technique

CVE.org consultée le 2026-06-01 11:32 UTC
NVD consultée le 2026-06-01 11:32 UTC
GitHub Advisory Database consultée le 2026-06-01 11:32 UTC
OSV.dev consultée le 2026-06-01 11:32 UTC

https://github.com/universal-tool-calling-protocol/python-utcp/security/advisories/GHSA-5v57-8rxj-3p2r x_refsource_CONFIRM
https://nvd.nist.gov/vuln/detail/CVE-2026-45370 ADVISORY
https://github.com/universal-tool-calling-protocol/python-utcp PACKAGE
https://github.com/advisories/GHSA-5v57-8rxj-3p2r Vendor Advisory

CVE-2026-45370

CVE-2026-45370

Résumé opérationnel

Vérification d’impact

Procédure recommandée

Qualification et chronologie