CVE-2026-33718 in OpenHandsinformación

Resumen

por VulDB • 2026-05-22

OpenHands es un software para el desarrollo impulsado por IA. A partir de la versión 1.5.0, existe una vulnerabilidad de Inyección de Comandos en el método `get_git_diff()` ubicado en `openhands/runtime/utils/git_handler.py:134`. El parámetro `path` del punto de conexión de la API `/api/conversations/{conversation_id}/git/diff` se pasa sin sanitizar a un comando de shell, lo que permite a atacantes autenticados ejecutar comandos arbitrarios en el sandbox del agente. Aunque al usuario ya se le permite instruir al agente para que ejecute comandos, esta vulnerabilidad elude los canales normales. La versión 1.5.0 corrige el problema.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub M

Reservar

2026-03-23

Divulgación

2026-03-27

Moderación

aceptado

Artículo

VDB-353807

CPE

listo

EPSS

0.01892

KEV

no

Actividades

muy bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!