CVE-2026-33718 in OpenHandsinformation

Résumé

par VulDB • 22/05/2026

OpenHands est un logiciel de développement piloté par l'IA. À partir de la version 1.5.0, une vulnérabilité d'injection de commande existe dans la méthode `get_git_diff()` située dans `openhands/runtime/utils/git_handler.py:134`. Le paramètre `path` de l'endpoint API `/api/conversations/{conversation_id}/git/diff` est transmis sans validation préalable à une commande shell, permettant aux attaquants authentifiés d'exécuter des commandes arbitraires dans le bac à sable de l'agent. L'utilisateur a déjà la possibilité d'instruire l'agent d'exécuter des commandes, mais cette vulnérabilité contourne les canaux normaux. La version 1.5.0 corrige le problème.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Réserver

23/03/2026

Divulgation

27/03/2026

Modérer

accepté

Entrée

VDB-353807

CPE

prêt

EPSS

0.01892

KEV

non

Activités

très faible

Sources

Want to know what is going to be exploited?

We predict KEV entries!