CVE-2026-45023
MediumSummary
AutoGPT to platforma automatyzacji procesów, która przed wersją 0.6.59 pozwalała na wykonywanie bloków za pomocą punktu końcowego POST /api/blocks/{block_id}/execute bez zużywania kredytów, niezależnie od salda użytkownika. Sprawdzenie kredytów w ścieżce wykonania grafu nie było osiągane, gdy bloki były wywoływane bezpośrednio przez zewnętrzne API, co umożliwiało nieograniczone darmowe wykonywanie wszystkich bloków.
Risk Assessment
Organizacja mogła ponieść straty finansowe z powodu nieograniczonego dostępu do funkcji, które powinny być ograniczone przez system kredytowy. Wykorzystanie tej podatności mogło prowadzić do nadużyć i nieautoryzowanego użycia zasobów.
Recommendation
Zaleca się aktualizację do wersji 0.6.59 lub nowszej, aby usunąć tę podatność. Należy również monitorować użycie API w celu wykrycia potencjalnych nadużyć przed aktualizacją.
Original NVD description (English source)
AutoGPT is a workflow automation platform for creating, deploying, and managing continuous artificial intelligence agents. Prior to 0.6.59, POST /api/blocks/{block_id}/execute endpoint executes blocks without consuming any credits, regardless of the user's balance. The credit check that exists in the graph execution path (manager.py) is never reached when blocks are called directly via the external API, allowing unlimited free execution of all blocks. This vulnerability is fixed in 0.6.59.

