CVE-2026-55237 - AutoGPT SignUp Page has DOM-Based XSS and Open Redirect
Summary
This entry details a vulnerability found in the target system. The exploit was published on 2026-06-18 and has garnered 71 views from the community. It is classified under the web apps category. Users are advised to review the source code in the Detail tab for technical specifics.
Zafiyet Özet Bilgileri
Zafiyet Detayı (Türkçe)
AutoGPT, sürekli yapay zeka aracılarını oluşturmaya, dağıtmaya ve yönetmeye yönelik bir iş akışı otomasyon platformudur. 0.6.62'den önceki sürümlerde, AutoGPT'nin kayıt sayfasında DOM tabanlı Siteler Arası Komut Dosyası Çalıştırma (XSS) güvenlik açığı bulunmaktadır. Uygulama, "router.push"a iletilen bir URL parametresine ("sonraki") hatalı şekilde güveniyor. Saldırgan, kimliği doğrulanmış bir kullanıcı tarafından açıldığında istemci tarafında yönlendirme gerçekleştiren ve tarayıcı bağlamında rastgele JavaScript yürüten kötü amaçlı bir bağlantı oluşturabilir. Bu, kimlik bilgilerinin çalınmasına, dahili ağın değişmesine ve kurban adına yetkisiz eylemlere yol açabilir. Sürüm 0.6.62 sorunu düzeltiyor.
Orijinal Açıklama (İngilizce)
AutoGPT is a workflow automation platform for creating, deploying, and managing continuous artificial intelligence agents. Versions prior to 0.6.62 have a DOM-based Cross-Site Scripting (XSS) vulnerability in AutoGPT's signup page. The application improperly trusts a URL parameter (`next`), which is passed to `router.push`. An attacker can craft a malicious link that, when opened by an authenticated user, performs a client-side redirect and executes arbitrary JavaScript in the context of their browser. This could lead to credential theft, internal network pivoting, and unauthorized actions performed on behalf of the victim. Version 0.6.62 patches the issue.
Download Source
Download the exploit source code for offline analysis and testing.
Download NowFile Size: ~3.9 KB | MD5: 86240a54339e239dfac39769b3129123
No gallery images available.
No discussion yet.