Katalog CVE

CVE-2026-42076

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Evolver to silnik AI z funkcją samodzielnego rozwoju, który przed wersją 1.69.3 miał podatność na wstrzykiwanie poleceń w funkcji _extractLLM(). Umożliwia to atakującym wykonywanie dowolnych poleceń powłoki na serwerze poprzez nieprawidłowe przetwarzanie parametrów.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa serwera, umożliwiając zdalne wykonanie kodu przez atakujących. Może to prowadzić do przejęcia kontroli nad systemem lub wycieku danych.

Rekomendacja

Zaleca się aktualizację do wersji 1.69.3 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć odpowiednie mechanizmy sanitizacji danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

Evolver is a GEP-powered self-evolving engine for AI agents. Prior to version 1.69.3, a command injection vulnerability in the _extractLLM() function allows attackers to execute arbitrary shell commands on the server. The function constructs a curl command using string concatenation and passes it to execSync() without proper sanitization, enabling remote code execution when the corpus parameter contains shell metacharacters. This issue has been patched in version 1.69.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS