Yerang30

**Nome do Software Vulnerável e Versões Afetadas** PraisonAI (versões afetadas não especificadas) **Descrição** Existe uma vulnerabilidade de injeção SQL de segunda ordem na função `get all user threads`. A função constrói consultas SQL brutas usando f-strings com IDs de thread não escapados obtidos do banco de dados. Um invasor pode injetar um ID de thread malicioso através da função `update thread`. Quando o aplicativo recupera a lista de threads, a carga útil injetada é executada, concedendo potencialmente acesso total ao banco de dados. O código vulnerável está localizado em `src/praisonai/praisonai/ui/sql alchemy.py`. O fluxo do ataque envolve a inserção de uma carga útil maliciosa através de `update thread` (linha 539), a construção de uma string de ID de thread (linha 547) e, em seguida, o uso dessa string em uma consulta SQL (linha 576). Isso pode levar à exfiltração de dados confidenciais, acesso a históricos de conversas e a capacidade de modificar ou excluir o conteúdo do banco de dados. **Recomendações** Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** PraisonAI versões anteriores a 4.5.69 **Descrição** PraisonAI é suscetível a Injeção de Comando de Sistema Operacional, potencialmente levando à Execução Remota de Código (RCE). O argumento de linha de comando `--mcp` é passado para `shlex.split()` e, em seguida, para `anyio.open process()` sem validação, permitindo a execução arbitrária de comandos do sistema operacional como o usuário do processo. A vulnerabilidade existe devido à falta de validação de entrada ao processar o argumento `--mcp`. O caminho de código vulnerável envolve o arquivo `cli/features/mcp.py`, que passa o comando para `praisonaiagents/mcp/mcp.py` e, finalmente, para `mcp/client/stdio/ init .py`. A correção envolve a introdução de uma lista de permissões de comandos no commit `47bff65413beaa3c21bf633c1fae4e684348368c`. **Recomendações** Atualize o PraisonAI para a versão 4.5.69 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** PraisonAI versões anteriores a 4.5.90 **Descrição** As funções `passthrough()` e `apassthrough()` do PraisonAI aceitam um parâmetro `api base` controlado pelo chamador. Este parâmetro é concatenado com o `endpoint` e passado diretamente para `httpx.Client.request()` quando um `AttributeError` ocorre no caminho primário do litellm. O sistema carece de validação de esquema de URL, filtragem de IP privado ou lista de permissões de domínio, permitindo solicitações para qualquer host acessível. As funções `passthrough()` e `apassthrough()` são vulneráveis. O código vulnerável está localizado em `passthrough.py` nas linhas 92, 109 e 110. Um invasor pode potencialmente recuperar credenciais IAM em infraestruturas de nuvem com IMDSv1 habilitado e acessar serviços internos sem autenticação dentro de uma VPC. **Recomendações** Atualize o PraisonAI para a versão 4.5.90 ou posterior.

Nome do Software Vulnerável e Versões Afetadas PraisonAI versões anteriores a 1.5.90 Descrição A função `run python()` do PraisonAI constrói uma string de comando shell interpolando código controlado pelo usuário em `python3 -c "<code>"` e passando-o para `subprocess.run(..., shell=True)`. A lógica de escape lida apenas com `` e `"`, deixando as substituições `$()` e backtick sem escape, o que permite a execução arbitrária de comandos do SO antes que o Python seja invocado. A função `run python()` é vulnerável devido ao escape incompleto da entrada controlada pelo usuário. O código vulnerável está localizado em `execute command.py` nas linhas 290, 297 e 310. A função `execute command` chama `subprocess.run()` com `shell=True`, o que expande `$()` antes que o Python seja executado. O endpoint da API não é explicitamente mencionado, mas a função `run python()` está exposta à injeção de prompt. Recomendações Atualize o PraisonAI para a versão 1.5.90 ou posterior.

Nome do Software Vulnerável e Versões Afetadas PraisonAI (versões afetadas não especificadas) Descrição PraisonAI é suscetível a um problema crítico de escape de sandbox Python que permite a execução de código fora do ambiente de sandbox pretendido. A falha reside na função `execute code()` em `praisonai-agents`, que permite a execução arbitrária de comandos do sistema operacional no host. Isso é alcançado fornecendo uma subclasse `str` com um método `startswith()` substituído para o wrapper ` safe getattr`, ignorando efetivamente as medidas de segurança do sandbox. A vulnerabilidade é acionada pela função ` safe getattr`, que lida incorretamente com subclasses de strings e, finalmente, leva à execução de código arbitrário por meio da função `Popen`. A vulnerabilidade pode ser explorada em implementações usando `bot.py`, `autonomy mode.py` ou `bots cli.py` quando `PRAISONAI AUTO APPROVE` estiver definido como true, permitindo a execução silenciosa mediante injeção de prompt indireta. Recomendações Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Name of the Vulnerable Software and Affected Versions PraisonAI versões anteriores a 4.5.90 Description A função `MCPToolIndex.search tools()` do PraisonAI compila diretamente uma string fornecida pelo chamador como uma expressão regular Python sem validação, sanitização ou tempo limite. Uma expressão regular criada pode causar retrocesso catastrófico no mecanismo `re`, bloqueando o thread Python por centenas de segundos e levando a uma interrupção completa do serviço. A função `search tools()` recebe uma consulta diretamente do chamador sem validação e a compila usando `re.compile()`. Este padrão compilado é então usado para pesquisar nomes e dicas de ferramentas. A questão está localizada em `tool index.py` nas linhas 365 a 368. Recommendations Atualize o PraisonAI para a versão 4.5.90 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** PraisonAI versões anteriores a 4.5.87 **Descrição** O servidor PraisonAI Gateway não possui autenticação para conexões WebSocket no endpoint `/ws` e expõe a topologia do agente no endpoint `/info` sem autenticação. Isso permite que qualquer cliente de rede se conecte, enumere agentes registrados e envie mensagens arbitrárias para agentes e seus conjuntos de ferramentas. O endpoint `/info` vaza todos os IDs de agentes sem autenticação. O endpoint WebSocket aceita conexões incondicionalmente, sem verificação de token. O `GatewayConfig` possui um campo `auth token` que não é aplicado no handler. Um invasor com acesso à rede pode enumerar agentes através do endpoint da API `/info` e enviar mensagens arbitrárias para agentes, potencialmente levando à execução de ferramentas, leitura de arquivos e chamadas de API. **Recomendações** Implemente autenticação forte para todas as conexões WebSocket. Especificamente, verifique se há um token nos parâmetros de consulta ou no cabeçalho 'Authorization' da conexão WebSocket e compare-o com o `auth token` configurado em `GatewayConfig`. Se os tokens não corresponderem, feche a conexão com um código de erro 4001 e um motivo de 'Não autorizado'.

Name of the Vulnerable Software and Affected Versions PraisonAI (versões afetadas não especificadas) Description Uma falha existe no processo de validação de token, onde a função `OAuthManager.validate token()` retorna incorretamente `True` para qualquer token não encontrado em seu armazenamento interno. Este armazenamento está vazio por padrão, permitindo que qualquer solicitação HTTP com um token Bearer arbitrário seja tratada como autenticada, concedendo acesso total a todas as ferramentas e capacidades de agente registradas. O código vulnerável está localizado em `oauth.py` nas linhas 364, 374 e 381. Um invasor com acesso à rede ao servidor HTTP MCP pode chamar todas as ferramentas registradas, incluindo execução de agente, execução de fluxo de trabalho, leitura/gravação de arquivos de contêiner e carregamento de habilidades. O servidor é vinculado a `0.0.0.0` por padrão, não exigindo nenhuma chave de API. Recommendations Modifique a função `validate token()` para rejeitar explicitamente tokens desconhecidos, retornando `False` se o token não for encontrado no armazenamento interno.

Nome do Software Vulnerável e Versões Afetadas PraisonAI versões anteriores a 1.5.95 Descrição A função `FileTools.download file()` do PraisonAI não valida o parâmetro `url` antes de passá-lo para `httpx.stream()` com `follow redirects=True`. Isso permite que um invasor que controla a URL acesse qualquer host acessível a partir do servidor, incluindo serviços de metadados de nuvem e serviços de rede interna. A vulnerabilidade pode ser explorada por meio de encadeamento de redirecionamento aberto, ignorando filtros de URL parciais. Em infraestruturas de nuvem com IMDSv1 habilitado, um invasor pode potencialmente recuperar credenciais IAM e gravá-las em disco. O código vulnerável está localizado em `file tools.py` nas linhas 259 e 296. O parâmetro `url` é recebido diretamente do chamador sem validação e, em seguida, passado para `httpx.stream()` sem a devida sanitização. Recomendações Atualize o PraisonAI para a versão 1.5.95 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** PraisonAI versões anteriores a 4.5.97 **Descrição** O `SubprocessSandbox` do PraisonAI em todos os modos (BASIC, STRICT, NETWORK ISOLATED) utiliza `subprocess.run()` com `shell=True` e depende da correspondência de padrões de string para bloquear comandos. A lista de bloqueio não inclui os executáveis `sh` ou `bash`, permitindo a fuga do sandbox no modo STRICT via `sh -c '<comando>'`. Isso permite que invasores contornem o isolamento em nível de sistema operacional e potencialmente acessem a rede, o sistema de arquivos e os serviços de metadados da nuvem, especialmente quando combinado com a injeção de prompt do agente. O código vulnerável está localizado em `sandbox executor.py`, especificamente nas linhas 179 e 326. O problema decorre da falta de bloqueio de `sh` e `bash` na lista `blocked commands` e do uso de `shell=True`, que gera `/bin/sh`. **Recomendações** Atualize para a versão 4.5.97 ou posterior para corrigir a vulnerabilidade. Como uma solução alternativa temporária, evite usar a opção `--sandbox strict`. Considere usar `shlex.split()` com `shell=False` na chamada `subprocess.run()` para evitar a injeção de shell.