CVE-2026-44336

Nome do Software Vulnerável e Versões Afetadas PraisonAI versões anteriores a 4.6.34

Descrição O servidor Model Context Protocol (MCP) no PraisonAI contém uma falha de travessia de caminho (path traversal) em suas ferramentas de manipulação de arquivos. O servidor registra quatro ferramentas por padrão: 'praisonai.rules.create', 'praisonai.rules.show', 'praisonai.rules.delete' e 'praisonai.workflow.show'. Essas ferramentas aceitam strings de caminho ou nome de arquivo através do endpoint tools/call e as anexam ao diretório ~/.praison/rules/ (ou aceitam caminhos absolutos no caso de 'praisonai.workflow.show') sem realizar verificações de contenção. Além disso, o despachante JSON-RPC passa params["arguments"] para os manipuladores via **kwargs sem validá-los em relação ao esquema de entrada.

Um invasor pode usar a variável rule name com sequências de travessia (ex: ../../) para ler, escrever ou excluir qualquer arquivo para o qual o usuário em execução tenha permissões. Isso pode ser escalado para execução remota de código ao escrever um arquivo Python .pth no diretório site-packages do usuário, que é então executado por qualquer processo Python subsequente iniciado pelo usuário. Este problema pode ser acionado via um LLM conectado ao MCP através de injeção de prompt indireta (ex: conteúdo web malicioso), ou via o endpoint praisonai mcp serve --transport http-stream, que por padrão não exige autenticação em loopback.

Recomendações Atualize para a versão 4.6.34. Como medida paliativa temporária, restrinja o acesso à interface de loopback ou garanta que a flag --api-key seja utilizada ao executar o servidor MCP com transporte http-stream para evitar acesso não autenticado.