CVE-2026-44335

Nome do Software Vulnerável e Versões Afetadas PraisonAI versões anteriores a 1.6.32

Descrição Uma falha lógica na lógica de verificação de URL permite que invasores ignorem filtros de segurança, levando ao Server-Side Request Forgery (SSRF). O sistema utiliza a função validate url() para realizar verificações de segurança na parte do host de uma URL extraída pelo urlparse(). No entanto, existe uma discrepância entre a forma como o urlparse() e a biblioteca requests analisam certas URLs. Por exemplo, em uma URL como http://127.0.0.1:6666@1.1.1.1, o urlparse() identifica o hostname como 1.1.1.1 (um endereço público), enquanto o requests o interpreta como 127.0.0.1 (um endereço interno). Essa inconsistência permite que as solicitações sejam roteadas para endereços de rede interna, apesar de passarem na validação inicial.

Recomendações Atualizar para a versão 1.6.32.