CVE-2026-34939

Name of the Vulnerable Software and Affected Versions PraisonAI versões anteriores a 4.5.90

Description A função MCPToolIndex.search tools() do PraisonAI compila diretamente uma string fornecida pelo chamador como uma expressão regular Python sem validação, sanitização ou tempo limite. Uma expressão regular criada pode causar retrocesso catastrófico no mecanismo re, bloqueando o thread Python por centenas de segundos e levando a uma interrupção completa do serviço. A função search tools() recebe uma consulta diretamente do chamador sem validação e a compila usando re.compile(). Este padrão compilado é então usado para pesquisar nomes e dicas de ferramentas. A questão está localizada em tool index.py nas linhas 365 a 368.

Recommendations Atualize o PraisonAI para a versão 4.5.90 ou posterior.