CVE-2026-40117

Name of the Vulnerable Software and Affected Versions PraisonAIAgents versões anteriores a 1.5.128

Description PraisonAIAgents é um sistema de equipes multiagentes. A função read skill file() em skill tools.py permite ler arquivos arbitrários do sistema de arquivos devido a um parâmetro skill path irrestrito. Ao contrário de file tools.read file, que impõe o confinamento de limite de espaço de trabalho, e ao contrário de run skill script, que requer aprovação de nível crítico, read skill file não possui essas proteções. Um agente influenciado por injeção de prompt pode exfiltrar arquivos confidenciais sem acionar nenhum prompt de aprovação.

Recommendations Atualize o PraisonAIAgents para a versão 1.5.128 ou posterior.