PT-2026-57440 · Praisonai · Praisonai

Anushkavirgaonkar

·

Publicado

2026-07-11

·

Atualizado

2026-07-12

·

CVE-2026-61447

CVSS v3.1

10

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas PraisonAI versões anteriores a 1.6.78
Description Um problema de execução remota de código existe na função CodeAgent. execute python(). O software executa código Python gerado por um Large Language Model (LLM) sem utilizar validação de Abstract Syntax Tree (AST), restrições de importação ou imposição de sandbox. Um invasor pode usar a injeção de prompt para influenciar a saída do LLM, permitindo a execução de código arbitrário no sistema hospedeiro e a exfiltração de segredos do ambiente. Isso pode levar ao comprometimento total do sistema, incluindo a perda de acesso ao banco de dados e variáveis de ambiente, sem a necessidade de autenticação ou interação do usuário.
Recommendations Atualize o PraisonAI para a versão 1.6.78.

Correção

RCE

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-61447

Produtos afetados

Praisonai