CVE-2026-33654 in nanobotinformazioni

Riassunto

di VulDB • 14/06/2026

nanobot è un assistente personale basato sull'intelligenza artificiale. Prima della versione 0.1.6, esiste una vulnerabilità di indirect prompt injection nel modulo di elaborazione del canale email (`nanobot/channels/email.py`), che consente a un attaccante remoto non autenticato di eseguire istruzioni arbitrarie per il Large Language Model (LLM) e, conseguentemente, strumenti di sistema, senza alcuna interazione da parte del proprietario del bot. Inviando un'email contenente prompt dannosi all'indirizzo email monitorato dal bot, quest'ultimo scarica automaticamente, ingerisce ed elabora il contenuto dell'email come input altamente attendibile, aggirando completamente l'isolamento dei canali e risultando in un attacco stealth a zero click (zero-click). La versione 0.1.6 risolve la vulnerabilità.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

23/03/2026

Divulgazione

27/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00489

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!