CVE-2026-33718 in OpenHandsالمعلومات

الملخص

بحسب VulDB • 09/05/2026

يُعد OpenHands برنامجًا لتطوير البرمجيات مدفوعًا بالذكاء الاصطناعي. بدءًا من الإصدار 1.5.0، توجد ثغرة حقن الأوامر (Command Injection) في طريقة `get_git_diff()` الموجودة في الملف `openhands/runtime/utils/git_handler.py:134`. يتم تمرير معلمة `path` من نقطة نهاية API `/api/conversations/{conversation_id}/git/diff` دون تنقيح (unsanitized) إلى أمر قشرة النظام (shell command)، مما يسمح للمهاجمين المصادق عليهم بتنفيذ أوامر عشوائية داخل بيئة العزل (sandbox) الخاصة بالوكيل. على الرغم من أن المستخدم مُسمَح له بالفعل بتوجيه الوكيل لتنفيذ الأوامر، إلا أن هذه الثغرة تتجاوز القنوات الطبيعية. يُصلح الإصدار 1.5.0 هذه المشكلة.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

GitHub M

حجز

23/03/2026

إفشاء

27/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353807

EPSS

0.01892

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!