CVE-2025-31494

Nome do Software Vulnerável e Versões Afetadas Versões do AutoGPT anteriores à 0.6.1

Descrição A API WebSocket da Plataforma AutoGPT transmitia atualizações de execução de nós aos assinantes com base no graph id+graph version. No entanto, não havia nenhuma verificação que impedisse os usuários de assinar utilizando o graph id+graph version de outro usuário. Como resultado, atualizações de execução de nós provenientes da execução do grafo de um usuário poderiam ser recebidas por outro usuário dentro da mesma instância. Este problema não ocorre entre diferentes instâncias ou entre usuários e não usuários da plataforma. Instâncias de usuário único não são afetadas. Em instâncias privadas com uma lista branca de usuários, o impacto é limitado pelo fato de que todos os potenciais destinatários não intencionais dessas atualizações de execução de nós devem ter sido admitidos pelo administrador.

Recomendações Para versões anteriores à 0.6.1, atualize para a versão 0.6.1 para resolver o problema. Como solução temporária, considere restringir o acesso à API WebSocket ou limitar as assinaturas apenas a usuários confiáveis dentro da mesma instância. Além disso, em instâncias privadas com uma lista branca de usuários, garanta que apenas usuários autorizados sejam admitidos pelo administrador para minimizar o risco de exploração.