← Retour
CVE-2026-30950
high
CVSS 7.1
AutoGPT is a workflow automation platform for creating, deploying, and managing continuous artificial intelligence agents. Versions 0.6.36 through 0.6.50 are vulnerable to Authenticated Session Hijack...
Résumé
AutoGPT is a workflow automation platform for creating, deploying, and managing continuous artificial intelligence agents. Versions 0.6.36 through 0.6.50 are vulnerable to Authenticated Session Hijacking via IDOR. If an authenticated attacker can determine the session_id of another user's session, t...
Résumé IA openai / gpt-4o
Une vulnérabilité référencée **CVE-2026-30950** a été découverte dans idor.
Des attaquants peuvent cibler un point d'entrée spécifique comme `PATCH /sessions/{session_id}/assign-user` à distance pour détourner le produit.
Des informations confidentielles peuvent être exposées. Score CVSS : 7.1/10.
Action : appliquez le correctif officiel de l'éditeur.
En cas de doute, contactez votre service informatique ou cherchez « idor CVE-2026-30950 » sur le site de l'éditeur.
CVE-2026-30950 (idor) — CWE-862 / CVSS v3 7.1
Vecteur d'attaque : distant (réseau) / sans interaction utilisateur
Surface d'attaque : PATCH /sessions/{session_id}/assign-user / PATCH /api/chat/sessions/{session_id}/assign-user / POST /api/chat/sessions / PATCH /api/chat/sessions/{session_id}/assign-user.
Versions affectées : `>= 0.6.36`
Plan : 1) Audit SBOM, 2) Mise à jour staging→prod, 3) Surveillance WAF/proxy sur les endpoints affectés, 4) Recherche d'IOC dans les logs.
Réfs : voir GHSA / avis éditeur / version corrigée liés sur cette page.
❓ Quel est le problème
認証されたセッションハイジャックの脆弱性。
📍 Périmètre concerné
AutoGPTのバージョン0.6.36から0.6.50。
🔥 Gravité
認証された攻撃者がセッションハイジャックを行うと、ユーザーのメッセージを読むことができ、正当なユーザーを締め出す可能性あり。
🔧 Comment corriger
バージョン0.6.51にアップデートする。
🛡️ Contournement
情報なし
🔍 Détection
セッションIDの不正なアクセスを監視する。