A vulnerability was identified in TransformerOptimus SuperAGI up to 0.0.14. Affected is the function delete_agent/stop_schedule/get_schedule_data of the file superagi/controllers/agent.py. The manipulation of the argument agent_id leads to authorization bypass. The attack is possible to be carried out remotely. The exploit is publicly available and might be used. The vendor was contacted early about this disclosure but did not respond in any way.
CVE-2026-6613 is an authorization bypass vulnerability in SuperAGI up to version 0.0.14 affecting agent management functions through improper validation of the agent_id parameter. Remote attackers can exploit this flaw to perform unauthorized operations on scheduled agents without proper authentication checks.
تم تحديد ثغرة تجاوز التفويض في ملف superagi/controllers/agent.py حيث يمكن للمهاجمين التلاعب بمعامل agent_id لتجاوز فحوصات التفويض. يمكن استغلال هذه الثغرة عن بعد لحذف الوكلاء أو إيقاف الجداول أو الوصول إلى بيانات الجدول دون تفويض مناسب.
ثغرة تجاوز التفويض في SuperAGI تصل إلى الإصدار 0.0.14 تؤثر على وظائف إدارة الوكيل من خلال التحقق غير الكافي من معامل agent_id. يمكن للمهاجمين البعيدين استغلال هذه الثغرة لتنفيذ عمليات غير مصرح بها على الوكلاء المجدولين.
Upgrade SuperAGI to version 0.0.15 or later immediately. Implement input validation and authorization checks for all agent_id parameters in delete_agent, stop_schedule, and get_schedule_data functions. Apply principle of least privilege and enforce role-based access control (RBAC) for agent management operations. Monitor logs for suspicious agent deletion or schedule modification attempts.
قم بترقية SuperAGI إلى الإصدار 0.0.15 أو أحدث فوراً. طبق التحقق من صحة المدخلات والتحقق من التفويض لجميع معاملات agent_id في وظائف delete_agent و stop_schedule و get_schedule_data. طبق مبدأ الامتيازات الأقل وفرض التحكم في الوصول المستند إلى الأدوار. راقب السجلات للكشف عن محاولات حذف الوكيل أو تعديل الجدول المريبة.