Katalog CVE

CVE-2026-34952

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

PraisonAI to system wieloagentowy, który przed wersją 4.5.97 akceptował połączenia WebSocket na /ws oraz udostępniał topologię agentów na /info bez autoryzacji. Każdy klient sieciowy mógł się połączyć, enumerować zarejestrowane agenty oraz wysyłać dowolne wiadomości do agentów i ich zestawów narzędzi.

Ocena ryzyka

Brak autoryzacji w połączeniach WebSocket stwarza ryzyko nieautoryzowanego dostępu do informacji o agentach oraz możliwość manipulacji ich działaniem, co może prowadzić do poważnych incydentów bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację do wersji 4.5.97 lub nowszej, aby zabezpieczyć serwer PraisonAI przed nieautoryzowanym dostępem i potencjalnymi atakami.

Oryginalny opis (angielski, źródło NVD)

PraisonAI is a multi-agent teams system. Prior to version 4.5.97, the PraisonAI Gateway server accepts WebSocket connections at /ws and serves agent topology at /info with no authentication. Any network client can connect, enumerate registered agents, and send arbitrary messages to agents and their tool sets. This issue has been patched in version 4.5.97.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS