CVE-2026-34952
CriticalSummary
PraisonAI to system wieloagentowy, który przed wersją 4.5.97 akceptował połączenia WebSocket na /ws oraz udostępniał topologię agentów na /info bez autoryzacji. Każdy klient sieciowy mógł się połączyć, enumerować zarejestrowane agenty oraz wysyłać dowolne wiadomości do agentów i ich zestawów narzędzi.
Risk Assessment
Brak autoryzacji w połączeniach WebSocket stwarza ryzyko nieautoryzowanego dostępu do informacji o agentach oraz możliwość manipulacji ich działaniem, co może prowadzić do poważnych incydentów bezpieczeństwa.
Recommendation
Zaleca się aktualizację do wersji 4.5.97 lub nowszej, aby zabezpieczyć serwer PraisonAI przed nieautoryzowanym dostępem i potencjalnymi atakami.
Original NVD description (English source)
PraisonAI is a multi-agent teams system. Prior to version 4.5.97, the PraisonAI Gateway server accepts WebSocket connections at /ws and serves agent topology at /info with no authentication. Any network client can connect, enumerate registered agents, and send arbitrary messages to agents and their tool sets. This issue has been patched in version 4.5.97.

