CVE-2026-33718 in OpenHandsthông tin

Tóm tắt

Bởi VulDB • 05/06/2026

OpenHands là phần mềm hỗ trợ phát triển dựa trên trí tuệ nhân tạo (AI). Bắt đầu từ phiên bản 1.5.0, tồn tại một lỗ hổng Injection Lệnh trong phương thức `get_git_diff()` tại tệp `openhands/runtime/utils/git_handler.py:134`. Tham số `path` từ điểm cuối API `/api/conversations/{conversation_id}/git/diff` được truyền không qua quá trình kiểm tra/rửa sạch (unsanitized) vào một lệnh shell, cho phép các kẻ tấn công đã xác thực thực thi các lệnh tùy ý trong môi trường sandbox của agent. Người dùng vốn dĩ đã có quyền yêu cầu agent thực hiện các lệnh, nhưng lỗ hổng này cho phép vượt qua các kênh xử lý bình thường. Phiên bản 1.5.0 đã khắc phục sự cố này.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

23/03/2026

Tiết lộ

27/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.01892

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!