Server-Side Request Forgery (SSRF) ist eine Schwachstelle, die es einem Angreifer ermöglicht, Anfragen von einem Server an interne oder externe Ressourcen zu stellen. Dies kann zu Offenlegung von Informationen, internem Netzwerkzugriff oder sogar zur Ausführung von Remote-Code führen.

Was ist ein Python Sandbox Escape?

Ein Python Sandbox Escape ist eine Schwachstelle, die es einem Angreifer ermöglicht, die Beschränkungen einer Sandboxed-Python-Umgebung zu umgehen. Dies kann zur Ausführung von beliebigem Code auf dem Hostsystem führen.

Was ist Shell Injection?

Shell Injection ist eine Schwachstelle, die es einem Angreifer ermöglicht, beliebige Shell-Befehle auf einem System auszuführen. Dies wird typischerweise erreicht, indem bösartiger Code in eine Shell-Befehlszeichenfolge injiziert wird.

Wie aktualisiere ich Praisonaiagents?

Sie können Praisonaiagents mit dem pip-Paketmanager aktualisieren. Führen Sie den Befehl `pip install --upgrade praisonaiagents` aus, um auf die neueste Version zu aktualisieren. Dies hilft, sich vor bekannten Schwachstellen zu schützen.

Mehrere Schwachstellen in Praisonaiagents gefährden Systeme

In Praisonaiagents wurden mehrere kritische Schwachstellen entdeckt, die potenziell zu SSRF-, Sandbox Escape- und Shell Injection-Angriffen führen können. Diese Fehler könnten es Angreifern ermöglichen, beliebige Befehle auszuführen und auf sensible Informationen zuzugreifen. Benutzern von Praisonaiagents wird dringend empfohlen, sofort auf die neueste Version zu aktualisieren, um diese Risiken zu mindern.

Diese Schwachstellen reichen von hoch bis kritisch, wobei die schwerwiegendste die Ausführung von nicht authentifiziertem Remote-Code ermöglicht.

Was ist Praisonaiagents?

Praisonaiagents ist eine Komponente für Python-Anwendungen, die wahrscheinlich für agentenbasierte Automatisierung oder Interaktion verwendet wird. Es bietet Tools und Funktionalitäten für die Entwicklung und Bereitstellung von KI-Agenten. Aufgrund der entdeckten Schwachstellen ist es entscheidend, alle Praisonaiagents CVEs zu durchsuchen und sicherzustellen, dass Ihre Bereitstellungen sicher sind. Die Exposition dieser Komponente gegenüber nicht vertrauenswürdigen Eingaben macht sie zu einem Hauptziel für Exploits, was die Bedeutung robuster Sicherheitsmaßnahmen unterstreicht.

CVE-2026-34954: PraisonAI hat SSRF in FileTools.download_file()

CVSS8.6

Betroffene VersionenPraisonaiagents Versionen 1.5.94 und früher sind betroffen. Diese Schwachstelle ist ausnutzbar, wenn die Anwendung es Benutzern erlaubt, die an die Funktion `download_file` übergebene URL zu steuern.

Hohe Schwere aufgrund des Potenzials für Offenlegung von Informationen und internen Zugriff.

EPSS-Score nicht verfügbar.

Die Funktion `FileTools.download_file()` in `praisonaiagents` ist anfällig für Server-Side Request Forgery (SSRF). Die Funktion validiert den URL-Parameter nicht, wodurch ein Angreifer Anfragen an interne oder externe Ressourcen stellen kann.

So beheben Sie CVE-2026-34954 in Praisonaiagents

Sofort patchen

1.Aktualisieren Sie auf Praisonaiagents Version 1.5.95 oder höher.

Praisonaiagents aktualisieren

pip install --upgrade praisonaiagents

Workaround: Implementieren Sie URL-Validierung und -Bereinigung, bevor Sie `download_file` aufrufen.

NextGuard kennzeichnet CVE-2026-34954 automatisch, wenn Praisonaiagents in einem Ihrer überwachten Projekte vorkommt – keine manuelle Suche erforderlich.

CVE-2026-34938: PraisonAI Python Sandbox Escape

CVSS10.0

Betroffene VersionenPraisonaiagents Versionen 1.5.9 und früher sind betroffen. Diese Schwachstelle ist ausnutzbar, wenn die Anwendung es Benutzern erlaubt, beliebigen Python-Code mit der Funktion `execute_code()` auszuführen.

Kritische Schwere aufgrund der Ausführung beliebiger OS-Befehle.

EPSS-Score nicht verfügbar.

Die Funktion `execute_code()` in `praisonai-agents` ermöglicht einen Python Sandbox Escape. Durch die Bereitstellung einer `str`-Unterklasse mit einer überschriebenen `startswith()`-Methode kann ein Angreifer Sicherheitsüberprüfungen umgehen und beliebige OS-Befehle ausführen.

So beheben Sie CVE-2026-34938 in Praisonaiagents

Sofort patchen

1.Aktualisieren Sie auf Praisonaiagents Version 1.5.90 oder höher.

Praisonaiagents aktualisieren

pip install --upgrade praisonaiagents

Workaround: Vermeiden Sie die Verwendung der Funktion `execute_code()` mit nicht vertrauenswürdigem Code.

CVE-2026-34937: PraisonAI Shell Injection in run_python()

CVSS7.8

Betroffene VersionenPraisonaiagents Versionen 1.5.9 und früher sind betroffen. Diese Schwachstelle ist ausnutzbar, wenn die Anwendung es Benutzern erlaubt, den an die Funktion `run_python()` übergebenen Code zu steuern.

Hohe Schwere aufgrund des Potenzials für die Ausführung beliebiger OS-Befehle.

EPSS-Score nicht verfügbar.

Die Funktion `run_python()` in `praisonai` ist anfällig für Shell Injection. Die Funktion erstellt einen Shell-Befehl mit benutzergesteuertem Code ohne ordnungsgemäße Maskierung, wodurch Angreifer beliebige OS-Befehle ausführen können.

So beheben Sie CVE-2026-34937 in Praisonaiagents

Sofort patchen

1.Aktualisieren Sie auf Praisonaiagents Version 1.5.90 oder höher.

Praisonaiagents aktualisieren

pip install --upgrade praisonaiagents

Workaround: Vermeiden Sie die Verwendung der Funktion `run_python()` mit nicht vertrauenswürdigem Code. Implementieren Sie eine ordnungsgemäße Eingabevalidierung und -Bereinigung.

Bleiben Sie Python-Schwachstellen einen Schritt voraus

Erkennen und beheben Sie proaktiv Schwachstellen in Ihren Python-Abhängigkeiten. Verwenden Sie NextGuard, um Ihre Python-Abhängigkeiten zu überwachen und Benachrichtigungen über neue Bedrohungen zu erhalten.

Pläne vergleichen

Häufig gestellte Fragen

Diese Schwachstellen in Praisonaiagents unterstreichen die Bedeutung sicherer Codierungspraktiken und regelmäßiger Sicherheitsupdates. Stellen Sie sicher, dass Sie die neueste Version von Praisonaiagents ausführen, und befolgen Sie die Best Practices für die Sicherheit, um Ihre Systeme zu schützen. Alle Python-Schwachstellen anzeigen.

Verwandte Themen

SSRFSandbox EscapeShell InjectionPython SecurityDependency Management