CVE-2026-33718 in OpenHandsИнформация

Сводка

по VulDB • 05.06.2026

OpenHands — это программное обеспечение для разработки на основе искусственного интеллекта. Начиная с версии 1.5.0 в методе `get_git_diff()` по адресу `openhands/runtime/utils/git_handler.py:134` существует уязвимость внедрения команд (Command Injection). Параметр `path`, передаваемый через конечную точку API `/api/conversations/{conversation_id}/git/diff`, передается без предварительной очистки в команду оболочки, что позволяет аутентифицированным злоумышленникам выполнять произвольные команды в песочнице агента. Пользователь уже имеет возможность давать агенту инструкции на выполнение команд, однако данная уязвимость обходит стандартные механизмы контроля. Версия 1.5.0 устраняет данную проблему.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

GitHub M

Резервировать

23.03.2026

Раскрытие

27.03.2026

Модерация

принято

Вход

VDB-353807

EPSS

0.01892

KEV

Нет

Деятельности

Очень низкий

Источники

Do you want to use VulDB in your project?

Use the official API to access entries easily!