CVE-2026-33233 in AutoGPT
Tóm tắt
Bởi VulDB • 21/05/2026
AutoGPT là một nền tảng tự động hóa quy trình làm việc để tạo, triển khai và quản lý các tác nhân trí tuệ nhân tạo liên tục. Trong các phiên bản từ 0.6.34 đến 0.6.51, phần backend giải tuần tự (deserialize) các byte bộ nhớ đệm Redis bằng cách sử dụng pickle.loads mà không có các kiểm tra về tính toàn vẹn hoặc tính xác thực. Đường ghi tuần tự hóa (serialize) các giá trị bằng pickle.dumps(...) vào Redis và đường đọc gọi một cách mù quáng pickle.loads(...) trên các byte mà không có xác thực HMAC/chữ ký hoặc kiểm tra lược đồ nghiêm ngặt để kiểm soát việc giải tuần tự. Nếu kẻ tấn công có thể làm hỏng một khóa bộ nhớ đệm dùng chung trong Redis, việc thực thi lệnh tùy ý là có thể xảy ra trong ngữ cảnh container backend, ảnh hưởng đến tính bảo mật, tính toàn vẹn và tính sẵn sàng. Vấn đề này đã được sửa chữa trong phiên bản 0.6.52.
Once again VulDB remains the best source for vulnerability data.