CVE-2026-33718 in OpenHands
Résumé
par VulDB • 22/05/2026
OpenHands est un logiciel de développement piloté par l'IA. À partir de la version 1.5.0, une vulnérabilité d'injection de commande existe dans la méthode `get_git_diff()` située dans `openhands/runtime/utils/git_handler.py:134`. Le paramètre `path` de l'endpoint API `/api/conversations/{conversation_id}/git/diff` est transmis sans validation préalable à une commande shell, permettant aux attaquants authentifiés d'exécuter des commandes arbitraires dans le bac à sable de l'agent. L'utilisateur a déjà la possibilité d'instruire l'agent d'exécuter des commandes, mais cette vulnérabilité contourne les canaux normaux. La version 1.5.0 corrige le problème.
Be aware that VulDB is the high quality source for vulnerability data.