Praisonai · Praisonai · CVE-2026-35615
Nome do Software Vulnerável e Versões Afetadas
PraisonAI versões anteriores a 1.5.113
Descrição
O PraisonAI é suscetível a um problema de travessia de caminho devido a uma falha na função ` validate path()`. Esta função primeiro chama `os.path.normpath()`, que colapsa as sequências '..', e então verifica a presença de '..' no caminho normalizado. Como as sequências '..' são colapsadas antes da verificação, a verificação é ineficaz, permitindo que um invasor atravesse para qualquer arquivo no sistema. A vulnerabilidade também existe porque a função de validação de caminho não resolve links simbólicos, o que poderia potencialmente causar travessia de caminho. O arquivo vulnerável é `src/praisonai-agents/praisonaiagents/tools/file tools.py` linhas 42-49. Isso permite o acesso a qualquer arquivo no sistema, potencialmente incluindo arquivos confidenciais como `/etc/passwd` e `/etc/shadow`.
Recomendações
Atualize o PraisonAI para a versão 1.5.113 ou posterior.