CVE-2026-47413

Nome do Software Vulnerável e Versões Afetadas praisonai-platform versões anteriores a 0.1.4

Description Uma falha de escalonamento de privilégios existe na PraisonAI Platform que permite que qualquer membro de um workspace conceda privilégios de proprietário (owner) a usuários arbitrários. O problema decorre do endpoint POST /workspaces/{workspace id}/members, que exige apenas que o chamador possua a função básica de membro através da dependência require workspace member(). A requisição é então encaminhada para a função MemberService.add(), que valida se a role solicitada é válida, mas não verifica se o chamador possui as permissões necessárias para atribuir essa função específica.

Um invasor com acesso de nível de membro pode explorar isso utilizando uma segunda conta para atribuir a si mesmo a função de proprietário, obtendo assim controle total sobre o workspace. Isso permite o acesso não autorizado a dados do workspace, gerenciamento de membros e outras ações restritas ao proprietário.

Recommendations Atualize para a versão 0.1.4. Como medida paliativa temporária, restrinja o acesso ao endpoint POST /workspaces/{workspace id}/members apenas a administradores confiáveis até que a atualização seja aplicada.