CVE-2026-40113

Name of the Vulnerable Software and Affected Versions PraisonAI versões anteriores a 4.5.128

Description PraisonAI é um sistema de equipes multiagentes. O script deploy.py constrói uma string delimitada por vírgulas para o argumento gcloud run deploy --set-env-vars interpolando diretamente openai model, openai key e openai base sem validar a presença de vírgulas. O comando gcloud usa uma vírgula como separador de pares chave-valor no argumento --set-env-vars. Uma vírgula em qualquer um desses três valores faz com que o gcloud analise incorretamente o texto subsequente como definições adicionais de KEY=VALUE, levando à injeção de variáveis de ambiente arbitrárias no serviço Cloud Run implantado.

Recommendations Atualize o PraisonAI para a versão 4.5.128 ou posterior.