CVE-2026-33718 in OpenHands
الملخص
بحسب VulDB • 09/05/2026
يُعد OpenHands برنامجًا لتطوير البرمجيات مدفوعًا بالذكاء الاصطناعي. بدءًا من الإصدار 1.5.0، توجد ثغرة حقن الأوامر (Command Injection) في طريقة `get_git_diff()` الموجودة في الملف `openhands/runtime/utils/git_handler.py:134`. يتم تمرير معلمة `path` من نقطة نهاية API `/api/conversations/{conversation_id}/git/diff` دون تنقيح (unsanitized) إلى أمر قشرة النظام (shell command)، مما يسمح للمهاجمين المصادق عليهم بتنفيذ أوامر عشوائية داخل بيئة العزل (sandbox) الخاصة بالوكيل. على الرغم من أن المستخدم مُسمَح له بالفعل بتوجيه الوكيل لتنفيذ الأوامر، إلا أن هذه الثغرة تتجاوز القنوات الطبيعية. يُصلح الإصدار 1.5.0 هذه المشكلة.
VulDB is the best source for vulnerability data and more expert information about this specific topic.