CVE-2026-56823
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 — wyżej niż 5% wszystkich znanych CVE
Streszczenie
Podatność w AutoGPT umożliwia uwierzytelnionemu użytkownikowi dostęp do punktu końcowego `POST /api/integrations/webhooks/{webhook_id}/ping` bez weryfikacji, czy webhook należy do niego. Atakujący może sprawdzić istnienie webhooka, ujawnić typ dostawcy OAuth, a w niektórych przypadkach wywołać dostarczenie pingu w imieniu innego użytkownika.
Ocena ryzyka
Ryzyko polega na możliwości nieautoryzowanego potwierdzenia istnienia webhooków oraz wycieku informacji o typie dostawcy OAuth, co może prowadzić do dalszych ataków socjotechnicznych lub naruszenia prywatności.
Rekomendacja
Należy niezwłocznie zaktualizować AutoGPT do wersji, w której usunięto tę podatność, oraz wdrożyć mechanizmy weryfikacji własności webhooka przed wykonaniem operacji ping.
Oryginalny opis (angielski, źródło NVD)
AutoGPT is a workflow automation platform for creating, deploying, and managing continuous artificial intelligence agents. Prior to , the `POST /api/integrations/webhooks/{webhook_id}/ping` endpoint fetches the target webhook by primary key alone without verifying that the webhook belongs to the authenticated user. Any authenticated user can supply an arbitrary webhook_id to confirm webhook existence, leak the webhook's OAuth provider type, and in some cases trigger a ping delivery on behalf of another user. This vulnerability is fixed in .

