CVE-2026-34955

Nome do Software Vulnerável e Versões Afetadas PraisonAI versões anteriores a 4.5.97

Descrição O SubprocessSandbox do PraisonAI em todos os modos (BASIC, STRICT, NETWORK ISOLATED) utiliza subprocess.run() com shell=True e depende da correspondência de padrões de string para bloquear comandos. A lista de bloqueio não inclui os executáveis sh ou bash, permitindo a fuga do sandbox no modo STRICT via sh -c '<comando>'. Isso permite que invasores contornem o isolamento em nível de sistema operacional e potencialmente acessem a rede, o sistema de arquivos e os serviços de metadados da nuvem, especialmente quando combinado com a injeção de prompt do agente. O código vulnerável está localizado em sandbox executor.py, especificamente nas linhas 179 e 326. O problema decorre da falta de bloqueio de sh e bash na lista blocked commands e do uso de shell=True, que gera /bin/sh.

Recomendações Atualize para a versão 4.5.97 ou posterior para corrigir a vulnerabilidade. Como uma solução alternativa temporária, evite usar a opção --sandbox strict. Considere usar shlex.split() com shell=False na chamada subprocess.run() para evitar a injeção de shell.