CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-34953

Critical
Published: Translated: NVD NIST

Summary

PraisonAI to system zespołów wieloagentowych. Przed wersją 4.5.97 metoda OAuthManager.validate_token() zwracała True dla każdego tokena, który nie był znaleziony w wewnętrznym magazynie, który domyślnie jest pusty. Każde żądanie HTTP do serwera MCP z dowolnym tokenem Bearer było traktowane jako uwierzytelnione, co przyznawało pełny dostęp do wszystkich zarejestrowanych narzędzi i możliwości agentów.

Risk Assessment

Organizacja może być narażona na nieautoryzowany dostęp do zasobów i funkcji systemu, co może prowadzić do poważnych naruszeń bezpieczeństwa. Wykorzystanie tej podatności może skutkować utratą danych lub nieautoryzowanym działaniem w systemie.

Recommendation

Zaleca się aktualizację do wersji 4.5.97 lub nowszej, aby załatać tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa, aby zidentyfikować i usunąć potencjalne zagrożenia związane z nieautoryzowanym dostępem.

Original NVD description (English source)

PraisonAI is a multi-agent teams system. Prior to version 4.5.97, OAuthManager.validate_token() returns True for any token not found in its internal store, which is empty by default. Any HTTP request to the MCP server with an arbitrary Bearer token is treated as authenticated, granting full access to all registered tools and agent capabilities. This issue has been patched in version 4.5.97.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS