Plataforma
javascript
Componente
zhayujie-chatgpt-on-wechat
Corrigido em
2.0.1
2.0.2
2.0.3
2.0.4
2.0.5
Uma vulnerabilidade de falta de autenticação foi identificada no zhayujie chatgpt-on-wechat CowAgent, afetando as versões de 2.0.0 a 2.0.4. Essa falha permite o acesso remoto sem a necessidade de autenticação. O exploit está publicamente disponível e pode ser utilizado, e o projeto ainda não respondeu ao relatório de problema.
Uma vulnerabilidade crítica foi detectada no zhayujie chatgpt-on-wechat CowAgent até a versão 2.0.4. Identificada como CVE-2026-6129, esta vulnerabilidade afeta o serviço Agent Mode Service e é caracterizada pela ausência de um mecanismo de autenticação. Isso significa que um atacante remoto pode potencialmente acessar funções e dados sensíveis sem credenciais válidas. A severidade da vulnerabilidade é classificada como 7.3 na escala CVSS, indicando um risco significativo. A falta de resposta do desenvolvedor, apesar da notificação antecipada por meio de um relatório de problemas, agrava a situação, deixando os usuários expostos a possíveis ataques.
A vulnerabilidade de falta de autenticação no CowAgent permite que um atacante remoto explore o serviço Agent Mode Service sem a necessidade de credenciais. A disponibilidade pública do exploit significa que a vulnerabilidade é facilmente acessível e pode ser utilizada por atacantes com diferentes níveis de habilidade técnica. O risco é agravado pela falta de resposta do desenvolvedor, indicando que nenhuma medida ativa está sendo tomada para abordar a vulnerabilidade. Isso cria uma janela de oportunidade para os atacantes explorarem a vulnerabilidade antes que uma solução seja implementada. Administradores de sistemas são aconselhados a avaliar o risco e tomar medidas preventivas para proteger seus sistemas.
Organizations utilizing CowAgent 2.0.0 through 2.0.4, particularly those exposing the Agent Mode Service to external networks, are at significant risk. Shared hosting environments where CowAgent is deployed alongside other applications are also vulnerable, as a compromise could potentially impact multiple tenants. Systems relying on CowAgent for critical functionality are especially susceptible to disruption.
• javascript / web:
// Monitor network requests to the Agent Mode Service endpoint for unauthorized access attempts.
// Example: Check for requests originating from unexpected IP addresses or user agents.• generic web:
# Check access logs for unusual patterns or requests to the Agent Mode Service.
# grep "Agent Mode Service" /var/log/apache2/access.logdisclosure
poc
Status do Exploit
EPSS
0.10% (percentil 28%)
CISA SSVC
Vetor CVSS
Considerando que nenhuma correção oficial foi fornecida pelo desenvolvedor do CowAgent, recomenda-se fortemente que os usuários parem de usar o aplicativo até que uma atualização seja lançada. Como medida temporária, sugere-se limitar o acesso à rede da instância do CowAgent, restringindo as conexões de entrada apenas a fontes confiáveis. Monitorar ativamente os logs do sistema em busca de atividades suspeitas também pode ajudar a detectar e responder a tentativas de exploração. Considerar alternativas ao CowAgent que ofereçam uma segurança mais robusta é uma opção a longo prazo. A falta de resposta do desenvolvedor sublinha a importância da diligência na seleção de software de terceiros.
La vulnerabilidad de falta de autenticación en el servicio Agent Mode de zhayujie chatgpt-on-wechat CowAgent requiere una actualización a una versión corregida. Debido a la falta de respuesta del proveedor, se recomienda evaluar la seguridad del componente y considerar alternativas si es posible. Monitorear las actualizaciones del proyecto para obtener una solución oficial.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É um identificador único para esta vulnerabilidade de segurança.
É um aplicativo que integra ChatGPT com WeChat.
Permite que atacantes acessem o aplicativo sem autenticação, o que pode comprometer a segurança dos dados.
Pare de usar o aplicativo até que uma atualização seja lançada ou considere alternativas mais seguras.
Até agora, não houve resposta do desenvolvedor.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.