Katalog CVE

CVE-2026-34938

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

PraisonAI to system zespołów wieloagentowych. Przed wersją 1.5.90, funkcja execute_code() w praisonai-agents uruchamiała kontrolowany przez atakującego kod Python w trójwarstwowym piaskownicy, którą można było całkowicie obejść, przekazując podklasę str z nadpisaną metodą startswith(), co prowadziło do wykonania dowolnych poleceń systemowych na hoście.

Ocena ryzyka

Organizacja jest narażona na ryzyko wykonania dowolnych poleceń systemowych przez atakującego, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Rekomendacja

Zaleca się aktualizację do wersji 1.5.90 lub nowszej, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa systemu.

Oryginalny opis (angielski, źródło NVD)

PraisonAI is a multi-agent teams system. Prior to version 1.5.90, execute_code() in praisonai-agents runs attacker-controlled Python inside a three-layer sandbox that can be fully bypassed by passing a str subclass with an overridden startswith() method to the _safe_getattr wrapper, achieving arbitrary OS command execution on the host. This issue has been patched in version 1.5.90.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS