CVE-2026-41496

Nome do Software Vulnerável e Versões Afetadas praisonai versões anteriores a 4.6.9 praisonaiagents versões anteriores a 1.6.9

Description Múltiplos backends no sistema de equipes multi-agente não validam a entrada, levando à execução arbitrária de SQL. Especificamente, nove backends—MySQL, PostgreSQL, async SQLite, async MySQL, async PostgreSQL, Turso, SingleStore, Supabase e SurrealDB—passam a variável table prefix diretamente para consultas SQL via f-string. Isso resulta em 52 pontos de injeção não validados em todo o código. Além disso, o arquivo postgres.py aceita um parâmetro schema não validado, usado diretamente em operações de Linguagem de Definição de Dados (DDL). O SQLiteBackend também aceita a variável table name sem validação. Esses problemas são exploráveis em implantações onde esses parâmetros são derivados de entradas externas, como configurações multi-tenant ou orientadas por API.

Recommendations Atualize o praisonai para a versão 4.6.9. Atualize o praisonaiagents para a versão 1.6.9. Como medida paliativa temporária, restrinja os parâmetros table prefix e schema para conterem apenas caracteres alfanuméricos e sublinhados.