PT-2026-57440 · Praisonai · Praisonai
Anushkavirgaonkar
·
Publicado
2026-07-11
·
Atualizado
2026-07-12
·
CVE-2026-61447
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
PraisonAI versões anteriores a 1.6.78
Description
Um problema de execução remota de código existe na função
CodeAgent. execute python(). O software executa código Python gerado por um Large Language Model (LLM) sem utilizar validação de Abstract Syntax Tree (AST), restrições de importação ou imposição de sandbox. Um invasor pode usar a injeção de prompt para influenciar a saída do LLM, permitindo a execução de código arbitrário no sistema hospedeiro e a exfiltração de segredos do ambiente. Isso pode levar ao comprometimento total do sistema, incluindo a perda de acesso ao banco de dados e variáveis de ambiente, sem a necessidade de autenticação ou interação do usuário.Recommendations
Atualize o PraisonAI para a versão 1.6.78.
Correção
RCE
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Praisonai