Bersechub

**Nome do Software Vulnerável e Versões Afetadas** praisonai versões anteriores a 4.6.9 praisonaiagents versões anteriores a 1.6.9 **Description** Múltiplos backends no sistema de equipes multi-agente não validam a entrada, levando à execução arbitrária de SQL. Especificamente, nove backends—MySQL, PostgreSQL, async SQLite, async MySQL, async PostgreSQL, Turso, SingleStore, Supabase e SurrealDB—passam a variável `table prefix` diretamente para consultas SQL via f-string. Isso resulta em 52 pontos de injeção não validados em todo o código. Além disso, o arquivo `postgres.py` aceita um parâmetro `schema` não validado, usado diretamente em operações de Linguagem de Definição de Dados (DDL). O `SQLiteBackend` também aceita a variável `table name` sem validação. Esses problemas são exploráveis em implantações onde esses parâmetros são derivados de entradas externas, como configurações multi-tenant ou orientadas por API. **Recommendations** Atualize o praisonai para a versão 4.6.9. Atualize o praisonaiagents para a versão 1.6.9. Como medida paliativa temporária, restrinja os parâmetros `table prefix` e `schema` para conterem apenas caracteres alfanuméricos e sublinhados.