CVE-2026-40159

Nome do Software Vulnerável e Versões Afetadas PraisonAI versões anteriores a 4.5.128

Descrição A integração do Protocolo de Contexto do Modelo (MCP) do PraisonAI permite gerar servidores em segundo plano via stdio usando strings de comando fornecidas pelo usuário, como MCP("npx -y @smithery/cli ..."). Esses comandos são executados através do módulo subprocess do Python. Por padrão, a implementação encaminha todo o ambiente do processo pai para o subprocesso gerado. Isso significa que qualquer comando MCP herda todas as variáveis de ambiente do processo host, incluindo dados confidenciais como chaves de API, tokens de autenticação e credenciais de banco de dados. Isso representa um risco de segurança ao usar comandos não confiáveis ou de terceiros, pois o código arbitrário de pacotes externos ou comprometidos pode ser executado com acesso a essas variáveis de ambiente herdadas, potencialmente levando à exposição de credenciais e ataques à cadeia de suprimentos. Uma prova de conceito (POC) demonstra a capacidade de exfiltrar variáveis de ambiente para um servidor controlado por um invasor usando um comando MCP malicioso. A vulnerabilidade permite que invasores acessem segredos definidos em arquivos .env ou configurações de tempo de execução, potencialmente levando a acesso não autorizado a serviços externos, violações de dados e comprometimento da infraestrutura.

Recomendações Em versões anteriores a 4.5.128, sanitize os dicionários env antes de passá-los para subprocess. Remova explicitamente chaves de API confidenciais conhecidas (OPENAI API KEY, chaves correspondentes a * API KEY, * TOKEN, etc.) dos processos filhos, a menos que sejam explicitamente incluídas em uma lista de permissões pelo usuário. Forneça um parâmetro de lista de permissões estrito para as variáveis que o desenvolvedor pretende passar. Aconselhe os usuários na documentação sobre os riscos de usar npx -y ao carregar ferramentas MCP.