PraisonAI: Second-Order (SQL Injection) in `get_all_user_threads`

PraisonAI ist ein Multi-Agenten-Teamsystem. Vor Version 4.5.90 erstellt die Funktion get_all_user_threads rohe (SQL)-Abfragen mit f-Strings mit nicht maskierten Thread-IDs, die aus der Datenbank abgerufen werden. Ein Angreifer speichert eine bösartige Thread-ID über update_thread. Wenn die Anwendung die Thread-Liste lädt, wird die injizierte Payload ausgeführt und gewährt vollen Datenbankzugriff. Dieses Problem wurde in Version 4.5.90 behoben.