CVE-2026-33718 in OpenHandsinfo

Zusammenfassung

von VulDB • 22.05.2026

OpenHands ist eine Software für die KI-gesteuerte Entwicklung. Ab Version 1.5.0 besteht in der Methode `get_git_diff()` in `openhands/runtime/utils/git_handler.py:134` eine Command-Injection-Schwachstelle. Der Parameter `path` des API-Endpunkts `/api/conversations/{conversation_id}/git/diff` wird ungesäubert an einen Shell-Befehl übergeben, was es authentifizierten Angreifern ermöglicht, beliebige Befehle in der Agent-Sandbox auszuführen. Der Benutzer darf zwar bereits den Agenten anweisen, Befehle auszuführen, doch wird hierdurch der normale Kanal umgangen. Version 1.5.0 behebt das Problem.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub M

Reservieren

23.03.2026

Veröffentlichung

27.03.2026

Moderieren

akzeptiert

Eintrag

VDB-353807

CPE

bereit

EPSS

0.01892

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!