漏洞信息 漏洞标题 Remote Code Execution via Disabled Block Bypass 漏洞ID CVE-2026-26020 发布日期 Last week (发布者: ntindle) 漏洞严重性 Critical (9.4/10) 影响的版本 受影响版本: <autogpt-platform-beta-v0.6.47 修复版本: autogpt-platform-beta-v0.6.48 漏洞描述 摘要 一个认证用户可以通过在图形中嵌入一个被标记为 的 块,绕过限制,从而在后端服务器上实现远程代码执行(RCE)。该块是一种开发工具,可以编写和导入任意Python代码,但由于图形验证未强制执行该限制标志,导致任何认证用户可以通过将块作为图形中的节点包含,而不是直接调用块的执行端点来绕过限制。 根本原因 是一个只在开发中使用的块,可以接受Python代码字符串,写入磁盘并动态导入。作为安全控制它被禁用,但 标志仅在直接块执行端点上强制执行。图形验证函数 未检查 标志,导致禁用的块可以无限制地包含在任何图形中。 影响 通过现场测试确认: - 后端进程中任意代码执行 - 可访问所有环境秘密,包括数据库凭据和服务密钥 - 数据库直接访问,具有完整读写能力 - 到内部服务的横向移动 - 通过容器内的磁盘访问实现持久性 任何认证用户都可以利用此漏洞,无需提升权限。 修复措施 1. 图形验证— backend/data/graph.py - 在 函数中添加 检查,该函数是所有图形创建、更新、分叉和执行路径的单一验证点。包含禁用块的图形在持久化到数据库之前会被拒绝。 2. 执行器— backend/executor/manager.py - 在 中添加 检查。即使禁用块以某种方式绕过验证,在执行前也会被阻止。 自托管用户注意事项 如果运行自托管的AutoGPT平台实例,请立即更新并检查您的实例是否被利用: - 检查利用尝试:通过查询数据库检查图形引用易受攻击的块。 - 检查未经授权的文件:在 目录中查找不是存储库一部分的 文件。 - 如果发现利用迹象,认为实例已被攻破。循环后端环境中所有秘密(如DATABASE_URL、Supabase密钥、API令牌等)并审计未经授权的更改。