CVE-2026-35615

Nome do Software Vulnerável e Versões Afetadas PraisonAI versões anteriores a 1.5.113

Descrição O PraisonAI é suscetível a um problema de travessia de caminho devido a uma falha na função validate path(). Esta função primeiro chama os.path.normpath(), que colapsa as sequências '..', e então verifica a presença de '..' no caminho normalizado. Como as sequências '..' são colapsadas antes da verificação, a verificação é ineficaz, permitindo que um invasor atravesse para qualquer arquivo no sistema. A vulnerabilidade também existe porque a função de validação de caminho não resolve links simbólicos, o que poderia potencialmente causar travessia de caminho. O arquivo vulnerável é src/praisonai-agents/praisonaiagents/tools/file tools.py linhas 42-49. Isso permite o acesso a qualquer arquivo no sistema, potencialmente incluindo arquivos confidenciais como /etc/passwd e /etc/shadow.

Recomendações Atualize o PraisonAI para a versão 1.5.113 ou posterior.