PT-2026-39006 · Praisonai+1 · Praisonai+1
Shmulc8
·
Publicado
2026-05-08
·
Atualizado
2026-05-11
·
CVE-2026-44339
CVSS v3.1
8.6
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:L |
Nome do Software Vulnerável e Versões Afetadas
praisonai versões anteriores a 4.6.37
praisonaiagents versões anteriores a 1.6.37
Descrição
O PraisonAI é um sistema de equipes multiagentes. O componente
praisonaiagents resolve nomes de ferramentas não resolvidos contra globais de módulo e main após falhar na correspondência com a lista de ferramentas declaradas e o registro. Como a configuração padrão do agente define perm allow como None, nomes de ferramentas não declaradas e não perigosas não são rejeitados pelo portão de permissão. Isso permite que um invasor capaz de influenciar nomes de chamadas de ferramentas invoque callables de aplicação não pretendidos que não foram declarados como ferramentas.Recomendações
Atualize o praisonai para a versão 4.6.37.
Atualize o praisonaiagents para a versão 1.6.37.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Praisonai
Praisonaiagents