CVE-2026-56077
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
PraisonAI w wersjach przed 1.5.115 zawiera podatność na ujawnienie informacji w komponencie MultiAgentLedger, która pozwala atakującym na dostęp do wrażliwych danych poprzez rejestrowanie agentów z duplikatami identyfikatorów. Brak egzekwowania unikalności identyfikatorów agentów umożliwia dzielenie instancji księgi i ujawnienie systemowych komunikatów oraz historii rozmów między agentami.
Ocena ryzyka
Organizacje mogą być narażone na ujawnienie wrażliwych danych, co może prowadzić do naruszenia prywatności i bezpieczeństwa informacji. Atakujący mogą wykorzystać tę podatność do manipulacji danymi i interakcji między agentami.
Rekomendacja
Zaleca się aktualizację do wersji 1.5.115 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć mechanizmy weryfikacji unikalności identyfikatorów agentów.
Oryginalny opis (angielski, źródło NVD)
PraisonAI before 1.5.115 contains an information disclosure vulnerability in the MultiAgentLedger component that allows attackers to access sensitive data by registering agents with duplicate IDs. Attackers can exploit the lack of agent ID uniqueness enforcement to share ledger instances and expose system prompts and conversation history between agents.

