CVE-2026-6129zhayujie/chatgpt-on-wechat项目的CowAgent组件在2.0.4及之前版本中存在严重漏洞。该漏洞源于Agent Mode Service组件的未知功能中缺少身份验证机制。攻击者可无需用户交互,通过网络远程发起攻击,导致系统面临机密性泄露、完整性破坏及可用性降低的风险。目前漏洞利用代码已公开,官方尚未响应。
该漏洞的核心在于zhayujie/chatgpt-on-wechat项目中CowAgent组件的Agent Mode Service未能正确实施访问控制。在受影响版本(<=2.0.4)中,特定的API端点或功能接口未对请求进行必要的身份验证检查。由于CVSS向量显示PR:N(无需权限)和UI:N(无需交互),攻击者可以直接向目标服务端口发送特制的数据包或HTTP请求。通过操纵未公开的函数参数,攻击者能够绕过正常的登录流程,直接调用敏感功能。这可能导致未授权访问聊天记录、操控Agent行为或执行某些管理操作。由于S:U(范围未改变),攻击被限制在当前组件或服务上下文中,但仍能造成显著的C、I、A影响。