CVE-2026-39305

Nome do Software Vulnerável e Versões Afetadas PraisonAI versões anteriores a 1.5.113

Descrição PraisonAI, um sistema de equipes multi-agente, contém uma vulnerabilidade de Path Traversal na funcionalidade Action Orchestrator. Um atacante, ou um agente comprometido, pode gravar em arquivos arbitrários fora do diretório de espaço de trabalho configurado, fornecendo segmentos de caminho relativos (../) no caminho de destino. Isso permite sobrescrever arquivos de sistema confidenciais ou inserir cargas executáveis no host. A vulnerabilidade reside em src/praisonai/praisonai/cli/features/action orchestrator.py (linhas 402, 409, 423), onde o código não valida que o caminho final permaneça dentro dos limites do diretório de espaço de trabalho. Uma carga útil maliciosa ActionStep pode ser construída para segmentar arquivos fora do espaço de trabalho, potencialmente levando à Execução Remota de Código (RCE) ou corrupção do sistema.

Recomendações Atualize para a versão 1.5.113 ou posterior.