Plataforma
python
Componente
praisonai
Corregido en
4.5.91
4.5.90
La vulnerabilidad CVE-2026-34939 afecta a praisonai en versiones anteriores o iguales a 4.5.9. Esta falla de seguridad permite un ataque de denegación de servicio (DoS) a través de la manipulación de expresiones regulares. Un atacante puede inyectar una expresión regular maliciosa que provoque un backtracking catastrófico en el motor re de Python, resultando en una interrupción completa del servicio. La solución recomendada es actualizar a la versión 4.5.90.
Un atacante puede explotar esta vulnerabilidad enviando una consulta especialmente diseñada a la función MCPToolIndex.search_tools(). Esta consulta, al ser compilada directamente como una expresión regular sin validación ni límites de tiempo, puede desencadenar un backtracking catastrófico. Este proceso consume recursos significativos del servidor, bloqueando el hilo Python principal y provocando una denegación de servicio. La interrupción del servicio puede afectar a todos los usuarios que dependen de praisonai, impidiendo el acceso a sus funcionalidades y potencialmente causando pérdidas de datos o interrupciones en los flujos de trabajo. La falta de validación de la entrada es el factor clave que permite la explotación de esta vulnerabilidad, similar a otros ataques de DoS basados en expresiones regulares.
La vulnerabilidad CVE-2026-34939 fue publicada el 2026-04-01. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de esta redacción. La probabilidad de explotación se considera media debido a la relativa facilidad de generar expresiones regulares que causen backtracking catastrófico, aunque la necesidad de conocer la estructura interna de praisonai podría limitar su explotación a atacantes más sofisticados. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad sugiere que es probable que se desarrollen en el futuro.
Estado del Exploit
EPSS
0.05% (15% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-34939 es actualizar praisonai a la versión 4.5.90 o superior, que incluye la corrección de esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de validación de entrada en la función MCPToolIndex.search_tools(). Esto podría incluir limitar la longitud de la consulta, restringir los caracteres permitidos o utilizar una biblioteca de expresiones regulares con límites de tiempo. Como medida temporal, se podría considerar la implementación de reglas en un firewall de aplicaciones web (WAF) para bloquear consultas sospechosas que contengan patrones de expresiones regulares potencialmente maliciosos. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que las consultas maliciosas ya no causan bloqueos del hilo Python.
Actualice PraisonAI a la versión 4.5.90 o posterior para mitigar la vulnerabilidad. Esta versión corrige el problema al validar y sanitizar las cadenas de expresiones regulares proporcionadas por el usuario antes de compilarlas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-34939 is a medium-severity Denial of Service vulnerability in praisonai versions up to 4.5.9. A malicious regular expression can cause catastrophic backtracking, leading to service outages.
You are affected if you are running praisonai version 4.5.9 or earlier. Check your version with praisonai --version.
Upgrade to praisonai version 4.5.90 or later to resolve the vulnerability. Implement temporary workarounds like rate limiting if an immediate upgrade is not possible.
No active exploitation campaigns have been reported as of this writing, but the vulnerability's nature suggests a potential for automated exploitation.
Refer to the praisonai project's official website or security advisories for the latest information and updates regarding CVE-2026-34939.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.