CVE-2026-39305
CriticalSummary
PraisonAI to system zespołów wieloagentowych. W wersjach przed 1.5.113 funkcja Action Orchestrator zawiera podatność typu Path Traversal, która pozwala atakującemu (lub skompromitowanemu agentowi) na zapis do dowolnych plików poza skonfigurowanym katalogiem roboczym.
Risk Assessment
Atakujący może nadpisać wrażliwe pliki systemowe lub umieścić złośliwe ładunki wykonawcze na hoście, co stwarza poważne zagrożenie dla integralności i bezpieczeństwa systemu.
Recommendation
Zaleca się aktualizację do wersji 1.5.113 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.
Original NVD description (English source)
PraisonAI is a multi-agent teams system. Prior to 1.5.113, the Action Orchestrator feature contains a Path Traversal vulnerability that allows an attacker (or compromised agent) to write to arbitrary files outside of the configured workspace directory. By supplying relative path segments (../) in the target path, malicious actions can overwrite sensitive system files or drop executable payloads on the host. This vulnerability is fixed in 1.5.113.

