Katalog CVE

CVE-2026-41497

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

PraisonAI to system wieloagentowy, który przed wersją 4.6.9 miał lukę w obsłudze komend MCP. Brakowało listy dozwolonych komend oraz walidacji argumentów w funkcji parse_mcp_command(), co pozwalało na wykonanie dowolnych programów, takich jak bash czy python, z flagami wykonania kodu.

Ocena ryzyka

Luka ta stwarza ryzyko wykonania złośliwego kodu w kontekście systemu, co może prowadzić do nieautoryzowanego dostępu lub przejęcia kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację do wersji 4.6.9 lub nowszej, aby usunąć tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających, takich jak walidacja komend.

Oryginalny opis (angielski, źródło NVD)

PraisonAI is a multi-agent teams system. Prior to version 4.6.9, the fix for PraisonAI's MCP command handling does not add a command allowlist or argument validation to parse_mcp_command(), allowing arbitrary executables like bash, python, or /bin/sh with inline code execution flags to pass through to subprocess execution. This issue has been patched in version 4.6.9.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS