PT-2026-41762 · Autogpt+1 · Autogpt+1

Publicado

2026-05-19

·

Atualizado

2026-05-19

·

CVE-2026-33233

CVSS v3.1

7.6

Alta

VetorAV:A/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas AutoGPT versões 0.6.34 até 0.6.51
Descrição O AutoGPT é uma plataforma de automação de fluxo de trabalho para criar, implantar e gerenciar agentes de inteligência artificial contínuos. O backend desserializa bytes de cache do Redis usando a função pickle.loads() sem verificações de integridade ou autenticidade. Enquanto o caminho de escrita utiliza pickle.dumps() para serializar valores no Redis, o caminho de leitura invoca pickle.loads() em bytes sem assinaturas HMAC ou validação rigorosa de esquema. Um invasor capaz de envenenar uma chave de cache compartilhada no Redis pode conseguir a execução de comandos arbitrários no contexto do contêiner do backend, afetando a confidencialidade, integridade e disponibilidade.
Recomendações Atualizar para a versão 0.6.52.

Exploit

Correção

RCE

Insufficient Verification of Data Authenticity

Deserialization of Untrusted Data

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-33233
GHSA-RFG2-37XQ-W4M9

Produtos afetados

Autogpt
Redis