CVE-2026-33718 in OpenHandsinformazioni

Riassunto

di VulDB • 15/06/2026

OpenHands è un software per lo sviluppo guidato dall'intelligenza artificiale. A partire dalla versione 1.5.0, è presente una vulnerabilità di Command Injection nel metodo `get_git_diff()` in `openhands/runtime/utils/git_handler.py:134`. Il parametro `path` dell'endpoint API `/api/conversations/{conversation_id}/git/diff` viene passato non sanitizzato a un comando shell, consentendo agli attaccanti autenticati di eseguire comandi arbitrari nella sandbox dell'agente. L'utente ha già il permesso di istruire l'agente a eseguire comandi, ma questa vulnerabilità aggira i canali normali. La versione 1.5.0 risolve il problema.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

23/03/2026

Divulgazione

27/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.01892

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!