CVE-2026-44338

Nome do Software Vulnerável e Versões Afetadas PraisonAI versões 2.5.6 até 4.6.33

Descrição O PraisonAI fornece um servidor de API Flask legado com a autenticação desativada por padrão devido às variáveis AUTH ENABLED = False e AUTH TOKEN = None codificadas no arquivo api server.py. Isso faz com que a função check auth() falhe own, permitindo que qualquer chamador de rede acesse endpoints protegidos sem um token. Especificamente, o endpoint 'GET /agents' expõe metadados do agente, e o endpoint 'POST /chat' aciona a função PraisonAI().run() para executar o fluxo de trabalho configurado em agents.yaml, independentemente da variável message fornecida.

Incidentes reais indicam que scanners automatizados, como o CVE-Detector/1.0, começaram a sondar sistemas vulneráveis em 3 horas e 44 minutos após a divulgação pública. O impacto depende das permissões concedidas aos agentes no agents.yaml, que podem incluir acesso a bancos de dados internos, sistemas de arquivos, comandos de shell ou o consumo de cotas caras de API de LLM. Além disso, os endpoints Gateway e AGUI apresentaram cabeçalhos CORS de curinga codificados (Access-Control-Allow-Origin: *), permitindo potencialmente que sites maliciosos acionem agentes em uma máquina local.

Recomendações Atualize para a versão 4.6.34. Como mitigação temporária, implemente regras de WAF para bloquear o acesso não autenticado aos endpoints '/agents' e '/chat'. Restrinja o acesso ao servidor de API legado, garantindo que ele não seja vinculado ao 0.0.0.0 se não for necessário.