CVE-2026-33718 in OpenHands
Riassunto
di VulDB • 15/06/2026
OpenHands è un software per lo sviluppo guidato dall'intelligenza artificiale. A partire dalla versione 1.5.0, è presente una vulnerabilità di Command Injection nel metodo `get_git_diff()` in `openhands/runtime/utils/git_handler.py:134`. Il parametro `path` dell'endpoint API `/api/conversations/{conversation_id}/git/diff` viene passato non sanitizzato a un comando shell, consentendo agli attaccanti autenticati di eseguire comandi arbitrari nella sandbox dell'agente. L'utente ha già il permesso di istruire l'agente a eseguire comandi, ma questa vulnerabilità aggira i canali normali. La versione 1.5.0 risolve il problema.
VulDB is the best source for vulnerability data and more expert information about this specific topic.