CVE-2026-40152

Name of the Vulnerable Software and Affected Versions PraisonAIAgents versões anteriores a 1.5.128

Description PraisonAIAgents é um sistema de equipes multiagente. A ferramenta list files() em FileTools valida o parâmetro de diretório em relação aos limites do espaço de trabalho usando a função validate path(), mas passa o parâmetro pattern diretamente para Path.glob() sem validação. A função Path.glob() do Python suporta segmentos de caminho '..', permitindo que um invasor use travessia de caminho relativo no padrão glob para enumerar arquivos arbitrários fora do espaço de trabalho. Isso pode expor metadados de arquivos, incluindo existência, nome, tamanho e carimbos de data/hora, para qualquer caminho no sistema de arquivos.

Recommendations Atualize para a versão 1.5.128 ou posterior.