CVE-2026-55237 - AutoGPT SignUp Page has DOM-Based XSS and Open Redirect
Özet
Bu kayıt, hedef sistemde bulunan bir zafiyeti detaylandırmaktadır. Zafiyet 2026-06-18 tarihinde yayınlanmış olup, topluluktan 69 görüntülenme almıştır. web uygulamaları kategorisinde sınıflandırılmıştır. Kullanıcıların teknik detaylar için Detay sekmesindeki kaynak kodunu incelemeleri önerilir.
Zafiyet Özet Bilgileri
Zafiyet Detayı (Türkçe)
AutoGPT, sürekli yapay zeka aracılarını oluşturmaya, dağıtmaya ve yönetmeye yönelik bir iş akışı otomasyon platformudur. 0.6.62'den önceki sürümlerde, AutoGPT'nin kayıt sayfasında DOM tabanlı Siteler Arası Komut Dosyası Çalıştırma (XSS) güvenlik açığı bulunmaktadır. Uygulama, "router.push"a iletilen bir URL parametresine ("sonraki") hatalı şekilde güveniyor. Saldırgan, kimliği doğrulanmış bir kullanıcı tarafından açıldığında istemci tarafında yönlendirme gerçekleştiren ve tarayıcı bağlamında rastgele JavaScript yürüten kötü amaçlı bir bağlantı oluşturabilir. Bu, kimlik bilgilerinin çalınmasına, dahili ağın değişmesine ve kurban adına yetkisiz eylemlere yol açabilir. Sürüm 0.6.62 sorunu düzeltiyor.
Orijinal Açıklama (İngilizce)
AutoGPT is a workflow automation platform for creating, deploying, and managing continuous artificial intelligence agents. Versions prior to 0.6.62 have a DOM-based Cross-Site Scripting (XSS) vulnerability in AutoGPT's signup page. The application improperly trusts a URL parameter (`next`), which is passed to `router.push`. An attacker can craft a malicious link that, when opened by an authenticated user, performs a client-side redirect and executes arbitrary JavaScript in the context of their browser. This could lead to credential theft, internal network pivoting, and unauthorized actions performed on behalf of the victim. Version 0.6.62 patches the issue.
Kaynak Kodu İndir
Çevrimdışı analiz ve test için exploit kaynak kodunu indirin.
Şimdi İndirDosya Boyutu: ~3.9 KB | MD5: 86240a54339e239dfac39769b3129123
Galeri görseli bulunmuyor.
Henüz tartışma başlatılmamış.