Katalog CVE

CVE-2026-56823

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 5 — wyżej niż 5% wszystkich znanych CVE

Streszczenie

Podatność w AutoGPT umożliwia uwierzytelnionemu użytkownikowi dostęp do punktu końcowego `POST /api/integrations/webhooks/{webhook_id}/ping` bez weryfikacji, czy webhook należy do niego. Atakujący może sprawdzić istnienie webhooka, ujawnić typ dostawcy OAuth, a w niektórych przypadkach wywołać dostarczenie pingu w imieniu innego użytkownika.

Ocena ryzyka

Ryzyko polega na możliwości nieautoryzowanego potwierdzenia istnienia webhooków oraz wycieku informacji o typie dostawcy OAuth, co może prowadzić do dalszych ataków socjotechnicznych lub naruszenia prywatności.

Rekomendacja

Należy niezwłocznie zaktualizować AutoGPT do wersji, w której usunięto tę podatność, oraz wdrożyć mechanizmy weryfikacji własności webhooka przed wykonaniem operacji ping.

Oryginalny opis (angielski, źródło NVD)

AutoGPT is a workflow automation platform for creating, deploying, and managing continuous artificial intelligence agents. Prior to , the `POST /api/integrations/webhooks/{webhook_id}/ping` endpoint fetches the target webhook by primary key alone without verifying that the webhook belongs to the authenticated user. Any authenticated user can supply an arbitrary webhook_id to confirm webhook existence, leak the webhook's OAuth provider type, and in some cases trigger a ping delivery on behalf of another user. This vulnerability is fixed in .

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS