CVE-2026-41208

Name of the Vulnerable Software and Affected Versions @paperclipai/server versões anteriores a 2026.416.0

Description Um problema no servidor Node.js e na UI React usados para orquestrar agentes de IA permite que um invasor com uma chave de API de Agente execute comandos arbitrários do SO no host do servidor. Isso ocorre porque os agentes podem atualizar seu próprio adapterConfig através do endpoint de API '/agents/:id'. Especificamente, o runtime do servidor executa o campo adapterConfig.workspaceStrategy.provisionCommand, permitindo que um invasor injete comandos de shell durante o provisionamento do workspace e escale privilégios do runtime do agente para o host do servidor.

Recommendations Atualizar para a versão 2026.416.0.