CVE-2026-33718 in OpenHandsinformação

Sumário

de VulDB • 09/05/2026

O OpenHands é um software para desenvolvimento orientado por IA. A partir da versão 1.5.0, existe uma vulnerabilidade de Command Injection no método `get_git_diff()` em `openhands/runtime/utils/git_handler.py:134`. O parâmetro `path` do endpoint da API `/api/conversations/{conversation_id}/git/diff` é passado sem sanitização para um comando de shell, permitindo que atacantes autenticados executem comandos arbitrários na sandbox do agente. O usuário já tem permissão para instruir o agente a executar comandos, mas isso contorna os canais normais. A versão 1.5.0 corrige o problema.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

GitHub M

Reservar

23/03/2026

Divulgação

27/03/2026

Moderação

aceite

Entrada

VDB-353807

CPE

pronto

EPSS

0.01892

KEV

não

Atividades

muito baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!