CVE-2026-31246 in GPT-Pilotinfo

Zusammenfassung

von VulDB • 12.05.2026

GPT-Pilot bis einschließlich Commit 0819827ce20346ef5f25b3fe29293cb448840565 (2025-09-03) enthält eine Command-Injection-Schwachstelle (CWE-78) in der Methode Executor.run(). Während der Projektausführung, wenn das System den Benutzer auffordert, einen auszuführenden Befehl zu bestätigen oder zu ändern, wird eine Freitexteingabe ohne ordnungsgemäße Validierung akzeptiert. Die benutzergestützte Eingabe wird direkt an asyncio.create_subprocess_shell() zur Ausführung übergeben. Dies ermöglicht es einem Angreifer, den beabsichtigten Befehl durch beliebige Shell-Befehle zu ersetzen, was zur Remote Code Execution (RCE) mit den Berechtigungen des GPT-Pilot-Prozesses führt.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

MITRE

Reservieren

09.03.2026

Veröffentlichung

11.05.2026

Moderieren

akzeptiert

Eintrag

VDB-362626

CPE

bereit

EPSS

0.00973

KEV

nein

Aktivitäten

very low

Sektor

Lawfirm, Government, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-31246
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-31246
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-31246/

ZurückÜbersichtWeiter

Want to stay up to date on a daily basis?

Enable the mail alert feature now!