Kostenlos scannen
HIGHCVE-2026-6129CVSS 7.3

zhayujie chatgpt-on-wechat CowAgent Agent Mode Service missing authentication

Plattform

javascript

Komponente

zhayujie-chatgpt-on-wechat

Behoben in

2.0.1

2.0.2

2.0.3

2.0.4

2.0.5

AI Confidence: highNVDEPSS 0.1%Geprüft: Mai 2026
Auf NVD ansehen
Speichern
Wird in Ihre Sprache übersetzt…

CVE-2026-6129 describes a critical vulnerability discovered in CowAgent, a JavaScript component developed by zhayujie chatgpt-on-wechat. This flaw stems from a missing authentication check within the Agent Mode Service, enabling unauthorized remote manipulation. Versions 2.0.0 through 2.0.4 are affected, and a public exploit is now available, highlighting the urgency of addressing this issue. The project maintainers have not yet responded to the reported vulnerability.

Auswirkungen und Angriffsszenarien

Eine kritische Schwachstelle wurde in zhayujie chatgpt-on-wechat CowAgent bis zur Version 2.0.4 entdeckt. Diese Schwachstelle, identifiziert als CVE-2026-6129, betrifft den Agent Mode Service und zeichnet sich durch einen fehlenden Authentifizierungsmechanismus aus. Das bedeutet, dass ein Remote-Angreifer potenziell Zugriff auf sensible Funktionen und Daten ohne gültige Anmeldedaten erhalten könnte. Die Schwere der Schwachstelle wird mit 7.3 auf der CVSS-Skala bewertet, was ein erhebliches Risiko anzeigt. Die fehlende Reaktion des Entwicklers trotz frühzeitiger Benachrichtigung über einen Problembericht verschärft die Situation und lässt Benutzer potenziellen Angriffen ausgesetzt.

Ausnutzungskontext

Die fehlende Authentifizierungsschwachstelle in CowAgent ermöglicht es einem Remote-Angreifer, den Agent Mode Service auszunutzen, ohne Anmeldedaten zu benötigen. Die öffentliche Verfügbarkeit des Exploits bedeutet, dass die Schwachstelle leicht zugänglich ist und von Angreifern mit unterschiedlichem technischen Know-how genutzt werden kann. Das Risiko wird durch die fehlende Reaktion des Entwicklers verstärkt, was darauf hindeutet, dass keine aktiven Schritte unternommen werden, um die Schwachstelle zu beheben. Dies schafft ein Zeitfenster für Angreifer, die Schwachstelle auszunutzen, bevor eine Lösung implementiert wird. Systemadministratoren werden aufgefordert, das Risiko zu bewerten und präventive Maßnahmen zu ergreifen, um ihre Systeme zu schützen.

Wer Ist Gefährdetwird übersetzt…

Organizations utilizing CowAgent 2.0.0 through 2.0.4, particularly those exposing the Agent Mode Service to external networks, are at significant risk. Shared hosting environments where CowAgent is deployed alongside other applications are also vulnerable, as a compromise could potentially impact multiple tenants. Systems relying on CowAgent for critical functionality are especially susceptible to disruption.

Erkennungsschrittewird übersetzt…

• javascript / web:

// Monitor network requests to the Agent Mode Service endpoint for unauthorized access attempts.
// Example: Check for requests originating from unexpected IP addresses or user agents.

• generic web:

# Check access logs for unusual patterns or requests to the Agent Mode Service.
# grep "Agent Mode Service" /var/log/apache2/access.log

Angriffszeitlinie

  1. Disclosure

    disclosure

  2. PoC

    poc

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch
Berichte1 Bedrohungsbericht

EPSS

0.10% (28% Perzentil)

CISA SSVC

Ausnutzungnone
Automatisierbarno
Technische Auswirkungpartial

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:P/RL:W/RC:R7.3HIGHAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredNoneErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityLowRisiko der Offenlegung sensibler DatenIntegrityLowRisiko nicht autorisierter DatenänderungAvailabilityLowRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Keine — ohne Authentifizierung ausnutzbar. Keine Zugangsdaten erforderlich.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Niedrig — partieller oder indirekter Zugriff auf einige Daten.
Integrity
Niedrig — Angreifer kann einige Daten mit begrenztem Umfang ändern.
Availability
Niedrig — partieller oder intermittierender Denial of Service.

Betroffene Software

Komponentezhayujie-chatgpt-on-wechat
Herstellerzhayujie
Betroffener BereichBehoben in
2.0.0 – 2.0.02.0.1
2.0.1 – 2.0.12.0.2
2.0.2 – 2.0.22.0.3
2.0.3 – 2.0.32.0.4
2.0.4 – 2.0.42.0.5

Schwachstellen-Klassifikation (CWE)

CWE-306CWE-287

Zeitleiste

  1. Reserviert
  2. Veröffentlicht
  3. Geändert
  4. EPSS aktualisiert
Kein Patch — 42 Tage seit Offenlegung

Mitigation und Workarounds

Da der CowAgent-Entwickler keine offizielle Lösung bereitgestellt hat, wird Benutzern dringend empfohlen, die Anwendung nicht mehr zu verwenden, bis ein Update veröffentlicht wird. Als vorübergehende Maßnahme wird empfohlen, den Netzwerkzugriff auf die CowAgent-Instanz zu beschränken und nur Verbindungen von vertrauenswürdigen Quellen zuzulassen. Die aktive Überwachung der Systemprotokolle auf verdächtige Aktivitäten kann ebenfalls dazu beitragen, potenzielle Ausnutzungsversuche zu erkennen und darauf zu reagieren. Die Prüfung von Alternativen zu CowAgent, die eine robustere Sicherheit bieten, ist eine langfristige Option. Das Ausbleiben einer Reaktion des Entwicklers unterstreicht die Bedeutung der Sorgfaltspflicht bei der Auswahl von Software von Drittanbietern.

So behebenwird übersetzt…

La vulnerabilidad de falta de autenticación en el servicio Agent Mode de zhayujie chatgpt-on-wechat CowAgent requiere una actualización a una versión corregida.  Debido a la falta de respuesta del proveedor, se recomienda evaluar la seguridad del componente y considerar alternativas si es posible.  Monitorear las actualizaciones del proyecto para obtener una solución oficial.

CVE-Sicherheitsnewsletter

Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.

Häufig gestellte Fragen

Was ist CVE-2026-6129 in zhayujie chatgpt-on-wechat CowAgent?

Es ist eine eindeutige Kennung für diese Sicherheitslücke.

Bin ich von CVE-2026-6129 in zhayujie chatgpt-on-wechat CowAgent betroffen?

Es ist eine Anwendung, die ChatGPT mit WeChat integriert.

Wie behebe ich CVE-2026-6129 in zhayujie chatgpt-on-wechat CowAgent?

Sie ermöglicht es Angreifern, auf die Anwendung ohne Authentifizierung zuzugreifen, was die Datensicherheit gefährden kann.

Wird CVE-2026-6129 aktiv ausgenutzt?

Hören Sie auf, die Anwendung zu verwenden, bis ein Update veröffentlicht wird oder ziehen Sie sicherere Alternativen in Betracht.

Wo finde ich den offiziellen zhayujie chatgpt-on-wechat CowAgent-Hinweis für CVE-2026-6129?

Bisher gab es keine Reaktion des Entwicklers.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen