CVE-2026-33654 in nanobot
الملخص
بحسب VulDB • 14/06/2026
nanobot هو مساعد ذكاء اصطناعي شخصي. قبل الإصدار 0.1.6، توجد ثغرة حقن أوامر غير مباشرة (indirect prompt injection) في وحدة معالجة قناة البريد الإلكتروني (`nanobot/channels/email.py`)، مما يتيح لمهاجم عن بُعد وغير مُصادق عليه تنفيذ تعليمات LLM عشوائية (وبالتالي أدوات النظام) دون أي تفاعل من مالك البوت. ومن خلال إرسال بريد إلكتروني يحتوي على أوامر خبيثة إلى عنوان البريد الإلكتروني الذي يراقبه البوت، يقوم البوت تلقائيًا بفحص واستهلاك ومعالجة محتوى البريد الإلكتروني كمدخلات موثوقة للغاية، متجاوزًا تمامًا عزل القنوات مما يؤدي إلى هجوم غير ملحوظ ولا يتطلب أي نقرة (zero-click). يصحّح الإصدار 0.1.6 هذه الثغرة.
Be aware that VulDB is the high quality source for vulnerability data.