Plattform
python
Komponente
praisonai
Behoben in
4.5.91
4.5.90
CVE-2026-34934 describes a SQL Injection vulnerability affecting PraisonAI, a multi-agent teams system. The vulnerability allows an attacker to inject malicious SQL code via a crafted thread ID, potentially granting full database access. This impacts PraisonAI versions less than or equal to 4.5.90. The vulnerability is fixed in version 4.5.90.
Die CVE-2026-34934-Schwachstelle in PraisonAI ermöglicht einem Angreifer, vollständigen Zugriff auf die Datenbank zu erlangen. Dies liegt an einem Fehler in der Funktion getalluserthreads, die SQL-Abfragen ohne ordnungsgemäße Bereinigung der Thread-IDs erstellt. Ein Angreifer kann bösartigen Code über die Funktion updatethread in eine Thread-ID injizieren. Wenn die Anwendung die Thread-Liste lädt, wird dieser injizierte Payload ausgeführt, wodurch der Angreifer beliebige Befehle auf der Datenbank ausführen kann. Die Schwere dieser Schwachstelle ist hoch (CVSS 9.8) aufgrund ihres Potenzials, die Integrität und Vertraulichkeit von Daten zu gefährden.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine bösartige Thread-ID über die Funktion update_thread in der Datenbank speichert. Diese bösartige Thread-ID würde injizierten SQL-Code enthalten. Wenn die Anwendung versucht, die Benutzer-Thread-Liste abzurufen, wird die resultierende SQL-Abfrage mit dem injizierten Code ausgeführt, wodurch der Angreifer Zugriff auf die Datenbank erhält und potenziell beliebige Befehle ausführen kann.
Organizations deploying praisonai, particularly those using older versions (≤4.5.9) and those with sensitive data stored in the database, are at significant risk. Shared hosting environments where multiple users share the same database instance are also particularly vulnerable, as an attacker could potentially compromise the entire environment through a single praisonai instance.
• python / server:
grep -r "await data_layer.update_thread(thread_id=" .*/sql_alchemy.py• python / server:
journalctl -u praisonai -f | grep "SQL error"• generic web:
curl -I http://your-praisonai-instance/threads?thread_id='; DROP TABLE users;--disclosure
Exploit-Status
EPSS
0.06% (20% Perzentil)
CISA SSVC
CVSS-Vektor
Um diese Schwachstelle zu beheben, wird empfohlen, PraisonAI auf Version 4.5.90 oder höher zu aktualisieren. Diese Version enthält eine Korrektur, die Thread-IDs bereinigt, bevor sie in SQL-Abfragen verwendet werden. Darüber hinaus sollte der Quellcode überprüft werden, um alle anderen Instanzen der Erstellung von SQL-Abfragen mit f-Strings ohne ordnungsgemäße Bereinigung zu identifizieren und zu beheben. Die Implementierung des Prinzips der geringsten Privilegien für Datenbankkonten kann ebenfalls dazu beitragen, die Auswirkungen einer möglichen Ausnutzung zu begrenzen.
Actualice PraisonAI a la versión 4.5.90 o superior para mitigar la vulnerabilidad de inyección SQL de segundo orden. Asegúrese de que las consultas SQL no construyan consultas SQL dinámicas con datos no escapados de la base de datos. Valide y escape adecuadamente todas las entradas del usuario antes de usarlas en consultas SQL.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
SQL-Injection ist eine Angriffstechnik, die es einem Angreifer ermöglicht, bösartigen SQL-Code in eine SQL-Abfrage einzufügen, was ihm den Zugriff auf sensible Daten, die Änderung von Daten oder sogar die Ausführung von Befehlen auf dem Server ermöglichen kann.
Wenn Sie eine Version von PraisonAI vor 4.5.90 verwenden, sind Sie wahrscheinlich von dieser Schwachstelle betroffen. Überprüfen Sie Ihre installierte Version und aktualisieren Sie diese so schnell wie möglich.
Wenn Sie vermuten, dass Ihre Datenbank kompromittiert wurde, sollten Sie umgehend Ihr Sicherheitsteam informieren und Maßnahmen ergreifen, um den Schaden zu begrenzen, z. B. Passwörter ändern und Audit-Protokolle überprüfen.
Es gibt verschiedene Tools, die Ihnen helfen können, SQL-Injection zu erkennen, darunter sowohl Tools zur statischen Codeanalyse als auch Penetrationstest-Tools.
Zusätzlich zum Aktualisieren von PraisonAI können Sie andere Sicherheitsmaßnahmen ergreifen, z. B. die Implementierung des Prinzips der geringsten Privilegien, die Verwendung von parametrisierten Abfragen und die Validierung aller Benutzereingaben.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.