Plataforma
python
Componente
praisonai
Corregido en
4.5.91
4.5.90
La vulnerabilidad CVE-2026-34936 es una falla de SSRF (Server-Side Request Forgery) presente en praisonai, específicamente en las funciones passthrough() y apassthrough(). Esta falla permite a un atacante, a través de la manipulación del parámetro api_base, realizar solicitudes arbitrarias a cualquier host accesible desde el servidor, comprometiendo potencialmente la confidencialidad e integridad de los datos. La vulnerabilidad afecta a versiones de praisonai menores o iguales a 4.5.9 y ha sido solucionada en la versión 4.5.90.
Un atacante puede explotar esta vulnerabilidad para realizar solicitudes a recursos internos que normalmente no son accesibles desde el exterior. Esto podría incluir el acceso a servicios de administración, bases de datos internas o incluso otros servidores en la red. La falta de validación de la URL y la ausencia de listas de control de acceso permiten a un atacante eludir las protecciones de seguridad y comprometer la confidencialidad de la información sensible. El impacto potencial se amplifica si el servidor de praisonai tiene acceso a otros sistemas críticos, ya que un atacante podría utilizar la SSRF para realizar ataques encadenados y obtener acceso a información aún más valiosa. Esta vulnerabilidad comparte similitudes con otras explotaciones de SSRF donde la falta de validación de entrada permite el acceso no autorizado a recursos internos.
La vulnerabilidad fue publicada el 2026-04-01. No se ha confirmado la explotación activa de esta vulnerabilidad, pero la naturaleza de SSRF la convierte en un objetivo atractivo para los atacantes. La puntuación CVSS de 7.7 (ALTO) indica un riesgo significativo. Se recomienda monitorear activamente los sistemas que utilizan praisonai para detectar cualquier actividad sospechosa.
Applications and systems utilizing praisonai versions 4.5.9 and earlier are at risk. This includes deployments where praisonai is integrated into larger AI pipelines or used to interact with internal APIs. Shared hosting environments where multiple applications share the same server instance are particularly vulnerable, as a compromise of one application could potentially lead to the exploitation of this vulnerability in others.
• python / server:
import os
import subprocess
# Check praisonai version
result = subprocess.run(['pip', 'show', 'praisonai'], capture_output=True, text=True)
version = result.stdout.split('Version: ')[1].split('\n')[0]
if version <= '4.5.9':
print('Vulnerability detected: praisonai version is vulnerable.')
else:
print('praisonai version is not vulnerable.')• generic web:
- Check for unusual outbound requests in server logs targeting internal IP addresses or sensitive endpoints.
- Monitor for requests to cloud metadata services (e.g., http://169.254.169.254/) originating from the praisonai application.
disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-34936 es actualizar praisonai a la versión 4.5.90 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales como la validación estricta de la URL en el parámetro api_base, incluyendo la verificación del esquema (https) y la aplicación de listas de control de acceso para restringir las solicitudes a dominios específicos. Además, se puede configurar un proxy inverso o un firewall de aplicaciones web (WAF) para filtrar las solicitudes maliciosas. Es crucial revisar la configuración de praisonai para asegurar que no haya otras configuraciones que puedan facilitar la explotación de esta vulnerabilidad.
Actualice PraisonAI a la versión 4.5.90 o superior para mitigar la vulnerabilidad de SSRF. Esta versión corrige la falta de validación de URL en el parámetro api_base, evitando que se realicen solicitudes a hosts no autorizados.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-34936 is a Server-Side Request Forgery (SSRF) vulnerability affecting praisonai versions up to 4.5.9. It allows attackers to send requests to any reachable host from the server.
You are affected if you are using praisonai version 4.5.9 or earlier. Upgrade to 4.5.90 to mitigate the risk.
Upgrade to praisonai version 4.5.90 or later. As a temporary workaround, implement a WAF or proxy to filter outbound requests.
There are currently no known active exploits, but it is recommended to patch promptly due to the potential for significant impact.
Refer to the praisonai project's official channels (e.g., GitHub repository, mailing list) for the latest advisory and security updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.