CVE-2026-41208 in paperclip
Resumen
por VulDB • 2026-05-15
Paperclip es un servidor Node.js y una interfaz de usuario React que orquesta un equipo de agentes de IA para gestionar una empresa. Las versiones de @paperclipai/server anteriores a la 2026.416.0 contienen una vulnerabilidad de escalada de privilegios que permite a un atacante con una clave de la API de Agente ejecutar comandos arbitrarios del sistema operativo en el host del servidor Paperclip. Un atacante con credenciales de agente puede escalar privilegios desde el entorno de ejecución del agente hasta el host del servidor Paperclip. La vulnerabilidad se produce porque se permite a los agentes actualizar su propio adapterConfig a través del punto final /agents/:id de la API. El campo de configuración adapterConfig.workspaceStrategy.provisionCommand es ejecutado posteriormente por el entorno de ejecución del servidor. Como resultado, un atacante que controle las credenciales de un agente puede inyectar comandos de shell arbitrarios que son ejecutados por el servidor Paperclip durante el aprovisionamiento del espacio de trabajo. Esto rompe el límite de confianza previsto entre la configuración del entorno de ejecución del agente y la ejecución en el host del servidor, permitiendo que un agente comprometido o malicioso escale privilegios y ejecute comandos en el sistema host. Esta vulnerabilidad permite la ejecución remota de código (RCE) en el host del servidor. La versión 2026.416.0 de @paperclipai/server corrige el problema.
Be aware that VulDB is the high quality source for vulnerability data.