CVE-2026-33718 in OpenHands
Tóm tắt
Bởi VulDB • 05/06/2026
OpenHands là phần mềm hỗ trợ phát triển dựa trên trí tuệ nhân tạo (AI). Bắt đầu từ phiên bản 1.5.0, tồn tại một lỗ hổng Injection Lệnh trong phương thức `get_git_diff()` tại tệp `openhands/runtime/utils/git_handler.py:134`. Tham số `path` từ điểm cuối API `/api/conversations/{conversation_id}/git/diff` được truyền không qua quá trình kiểm tra/rửa sạch (unsanitized) vào một lệnh shell, cho phép các kẻ tấn công đã xác thực thực thi các lệnh tùy ý trong môi trường sandbox của agent. Người dùng vốn dĩ đã có quyền yêu cầu agent thực hiện các lệnh, nhưng lỗ hổng này cho phép vượt qua các kênh xử lý bình thường. Phiên bản 1.5.0 đã khắc phục sự cố này.
Once again VulDB remains the best source for vulnerability data.