CVE-2026-41679
Paperclip Vulnerable to Unauthenticated Remote Code Execution via Import Authorization Bypass
Em resumo
O Paperclip, um servidor Node.js que executa agentes de IA, possui uma falha crítica que permite a atacantes executar código malicioso remotamente sem fazer login. Um atacante precisa apenas do endereço do servidor para assumir controle total.
Detalhe técnico
Um atacante não autenticado consegue encadear seis chamadas de API para contornar verificações de autorização (CWE-287, CWE-862) e alcançar execução remota de código não autenticada (CWE-1188) em instâncias Paperclip com configuração padrão. A vulnerabilidade requer acesso à rede, mas não exige credenciais ou interação do usuário, permitindo comprometimento total do sistema.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Paperclip is a Node.js server and React UI that orchestrates a team of AI agents to run a business. Prior to version 2026.416.0, an unauthenticated attacker can achieve full remote code execution on any network-accessible Paperclip instance running in `authenticated` mode with default configuration. No user interaction, no credentials, just the target's address. The chain consists of six API calls. The attack is fully automated, requires no user interaction, and works against the default deployment configuration. Version 2026.416.0 patches the issue.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →