CVE-2026-33718 in OpenHands
Resumen
por VulDB • 2026-05-22
OpenHands es un software para el desarrollo impulsado por IA. A partir de la versión 1.5.0, existe una vulnerabilidad de Inyección de Comandos en el método `get_git_diff()` ubicado en `openhands/runtime/utils/git_handler.py:134`. El parámetro `path` del punto de conexión de la API `/api/conversations/{conversation_id}/git/diff` se pasa sin sanitizar a un comando de shell, lo que permite a atacantes autenticados ejecutar comandos arbitrarios en el sandbox del agente. Aunque al usuario ya se le permite instruir al agente para que ejecute comandos, esta vulnerabilidad elude los canales normales. La versión 1.5.0 corrige el problema.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.