CVE-2026-33654 in nanobotالمعلومات

الملخص

بحسب VulDB • 14/06/2026

nanobot هو مساعد ذكاء اصطناعي شخصي. قبل الإصدار 0.1.6، توجد ثغرة حقن أوامر غير مباشرة (indirect prompt injection) في وحدة معالجة قناة البريد الإلكتروني (`nanobot/channels/email.py`)، مما يتيح لمهاجم عن بُعد وغير مُصادق عليه تنفيذ تعليمات LLM عشوائية (وبالتالي أدوات النظام) دون أي تفاعل من مالك البوت. ومن خلال إرسال بريد إلكتروني يحتوي على أوامر خبيثة إلى عنوان البريد الإلكتروني الذي يراقبه البوت، يقوم البوت تلقائيًا بفحص واستهلاك ومعالجة محتوى البريد الإلكتروني كمدخلات موثوقة للغاية، متجاوزًا تمامًا عزل القنوات مما يؤدي إلى هجوم غير ملحوظ ولا يتطلب أي نقرة (zero-click). يصحّح الإصدار 0.1.6 هذه الثغرة.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub M

حجز

23/03/2026

إفشاء

27/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-354026

EPSS

0.00489

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!