CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-34938

Critical
Published: Translated: NVD NIST

Summary

PraisonAI to system zespołów wieloagentowych. Przed wersją 1.5.90, funkcja execute_code() w praisonai-agents uruchamiała kontrolowany przez atakującego kod Python w trójwarstwowym piaskownicy, którą można było całkowicie obejść, przekazując podklasę str z nadpisaną metodą startswith(), co prowadziło do wykonania dowolnych poleceń systemowych na hoście.

Risk Assessment

Organizacja jest narażona na ryzyko wykonania dowolnych poleceń systemowych przez atakującego, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Recommendation

Zaleca się aktualizację do wersji 1.5.90 lub nowszej, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa systemu.

Original NVD description (English source)

PraisonAI is a multi-agent teams system. Prior to version 1.5.90, execute_code() in praisonai-agents runs attacker-controlled Python inside a three-layer sandbox that can be fully bypassed by passing a str subclass with an overridden startswith() method to the _safe_getattr wrapper, achieving arbitrary OS command execution on the host. This issue has been patched in version 1.5.90.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS