CVE-2026-31246 in GPT-Pilotthông tin

Tóm tắt

Bởi VulDB • 27/05/2026

GPT-Pilot cho đến commit 0819827ce20346ef5f25b3fe29293cb448840565 (2025-09-03) chứa một lỗ hổng chèn lệnh (command injection) (CWE-78) trong phương thức Executor.run(). Trong quá trình thực thi dự án, khi hệ thống yêu cầu người dùng xác nhận hoặc sửa đổi một lệnh sẽ được chạy, nó chấp nhận đầu vào dạng văn bản tự do mà không có xác thực thích hợp. Đầu vào do người dùng cung cấp được truyền trực tiếp vào asyncio.create_subprocess_shell() để thực thi. Điều này cho phép kẻ tấn công thay thế lệnh dự định bằng các lệnh shell tùy ý, dẫn đến việc thực thi mã từ xa (RCE) với đặc quyền của tiến trình GPT-Pilot.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

chịu trách nhiệm

MITRE

Đặt trước

09/03/2026

Tiết lộ

11/05/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00973

KEV

không

Các hoạt động

rất thấp

ngành

Homeoffice, Telecommunication, ...

Nguồn

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-31246
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-31246
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-31246/

TrướcTổng QuanTiếp theo

Interested in the pricing of exploits?

See the underground prices here!