PT-2026-57196 · Praisonai · Praisonai

Anushkavirgaonkar

·

Publicado

2026-07-10

·

Atualizado

2026-07-10

·

CVE-2026-61444

CVSS v3.1

9.1

Crítica

VetorAV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas PraisonAI versões anteriores a 4.6.78
Description Um problema de injeção de código existe no arquivo deploy/api.py. O parâmetro agents file é interpolado diretamente em uma f-string sem a devida sanitização. Essa string interpolada é usada para gerar código de servidor que é posteriormente executado através da função subprocess.Popen(). Um usuário autorizado com acesso à API de implantação pode explorar isso para injetar e executar código Python arbitrário no contexto do processo de implantação.
Recommendations Atualize o PraisonAI para a versão 4.6.78. Evite usar o parâmetro agents file no endpoint deploy/api.py até que a atualização seja aplicada.

Exploit

Correção

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-61444

Produtos afetados

Praisonai