CVE-2026-42076
KrytyczneStreszczenie
Evolver to silnik AI z funkcją samodzielnego rozwoju, który przed wersją 1.69.3 miał podatność na wstrzykiwanie poleceń w funkcji _extractLLM(). Umożliwia to atakującym wykonywanie dowolnych poleceń powłoki na serwerze poprzez nieprawidłowe przetwarzanie parametrów.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa serwera, umożliwiając zdalne wykonanie kodu przez atakujących. Może to prowadzić do przejęcia kontroli nad systemem lub wycieku danych.
Rekomendacja
Zaleca się aktualizację do wersji 1.69.3 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć odpowiednie mechanizmy sanitizacji danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
Evolver is a GEP-powered self-evolving engine for AI agents. Prior to version 1.69.3, a command injection vulnerability in the _extractLLM() function allows attackers to execute arbitrary shell commands on the server. The function constructs a curl command using string concatenation and passes it to execSync() without proper sanitization, enabling remote code execution when the corpus parameter contains shell metacharacters. This issue has been patched in version 1.69.3.

