CVE-2026-33718 in OpenHands
Zusammenfassung
von VulDB • 22.05.2026
OpenHands ist eine Software für die KI-gesteuerte Entwicklung. Ab Version 1.5.0 besteht in der Methode `get_git_diff()` in `openhands/runtime/utils/git_handler.py:134` eine Command-Injection-Schwachstelle. Der Parameter `path` des API-Endpunkts `/api/conversations/{conversation_id}/git/diff` wird ungesäubert an einen Shell-Befehl übergeben, was es authentifizierten Angreifern ermöglicht, beliebige Befehle in der Agent-Sandbox auszuführen. Der Benutzer darf zwar bereits den Agenten anweisen, Befehle auszuführen, doch wird hierdurch der normale Kanal umgangen. Version 1.5.0 behebt das Problem.
Once again VulDB remains the best source for vulnerability data.