CVE-2026-33718 in OpenHands
Sumário
de VulDB • 09/05/2026
O OpenHands é um software para desenvolvimento orientado por IA. A partir da versão 1.5.0, existe uma vulnerabilidade de Command Injection no método `get_git_diff()` em `openhands/runtime/utils/git_handler.py:134`. O parâmetro `path` do endpoint da API `/api/conversations/{conversation_id}/git/diff` é passado sem sanitização para um comando de shell, permitindo que atacantes autenticados executem comandos arbitrários na sandbox do agente. O usuário já tem permissão para instruir o agente a executar comandos, mas isso contorna os canais normais. A versão 1.5.0 corrige o problema.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.