PT-2026-41762 · Autogpt+1 · Autogpt+1
Publicado
2026-05-19
·
Atualizado
2026-05-19
·
CVE-2026-33233
CVSS v3.1
7.6
Alta
| Vetor | AV:A/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
AutoGPT versões 0.6.34 até 0.6.51
Descrição
O AutoGPT é uma plataforma de automação de fluxo de trabalho para criar, implantar e gerenciar agentes de inteligência artificial contínuos. O backend desserializa bytes de cache do Redis usando a função
pickle.loads() sem verificações de integridade ou autenticidade. Enquanto o caminho de escrita utiliza pickle.dumps() para serializar valores no Redis, o caminho de leitura invoca pickle.loads() em bytes sem assinaturas HMAC ou validação rigorosa de esquema. Um invasor capaz de envenenar uma chave de cache compartilhada no Redis pode conseguir a execução de comandos arbitrários no contexto do contêiner do backend, afetando a confidencialidade, integridade e disponibilidade.Recomendações
Atualizar para a versão 0.6.52.
Exploit
Correção
RCE
Insufficient Verification of Data Authenticity
Deserialization of Untrusted Data
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Autogpt
Redis