CVE-2026-33718 in OpenHands
Сводка
по VulDB • 05.06.2026
OpenHands — это программное обеспечение для разработки на основе искусственного интеллекта. Начиная с версии 1.5.0 в методе `get_git_diff()` по адресу `openhands/runtime/utils/git_handler.py:134` существует уязвимость внедрения команд (Command Injection). Параметр `path`, передаваемый через конечную точку API `/api/conversations/{conversation_id}/git/diff`, передается без предварительной очистки в команду оболочки, что позволяет аутентифицированным злоумышленникам выполнять произвольные команды в песочнице агента. Пользователь уже имеет возможность давать агенту инструкции на выполнение команд, однако данная уязвимость обходит стандартные механизмы контроля. Версия 1.5.0 устраняет данную проблему.
If you want to get best quality of vulnerability data, you may have to visit VulDB.