Plataforma
python
Componente
praisonaiai
Corregido en
4.5.114
La vulnerabilidad CVE-2026-35615 es una falla de Path Traversal descubierta en PraisionAI, un sistema de equipos multi-agente. Debido a una validación de rutas defectuosa, un atacante puede acceder a archivos arbitrarios en el sistema. Esta vulnerabilidad afecta a las versiones de PraisionAI desde 1.5.0 hasta, pero sin incluir, la versión 4.5.113. La vulnerabilidad ha sido corregida en la versión 1.5.113.
Esta falla de Path Traversal permite a un atacante, con acceso al sistema PraisionAI, leer cualquier archivo en el servidor. Esto incluye archivos de configuración sensibles, claves de API, contraseñas y otros datos confidenciales. Un atacante podría utilizar esta información para comprometer aún más el sistema, obtener acceso a la red interna o incluso ejecutar código malicioso. La simplicidad de la explotación hace que esta vulnerabilidad sea particularmente preocupante, ya que no requiere habilidades técnicas avanzadas para ser aprovechada. La falta de una validación adecuada de las rutas de archivo significa que un atacante puede eludir las protecciones de seguridad y acceder a recursos que no deberían ser accesibles.
La vulnerabilidad CVE-2026-35615 fue publicada el 7 de abril de 2026. No se ha añadido a la lista KEV de CISA, pero la naturaleza crítica de la vulnerabilidad y su facilidad de explotación sugieren que podría ser considerada de alta probabilidad. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la simplicidad de la explotación hace que sea probable que se desarrollen en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations deploying PraisonAI in environments with limited access controls or those running older, unpatched versions (1.5.0 - 4.5.112) are particularly at risk. Shared hosting environments where multiple users share the same PraisonAI instance are also vulnerable, as an attacker could potentially exploit this vulnerability to access data belonging to other users.
• python: Monitor PraisonAI process logs for requests containing '..' or '/' characters.
# Example: Check for suspicious paths in PraisonAI logs
import re
with open('praisonai.log', 'r') as f:
for line in f:
if re.search(r'\|/', line):
print(f'Suspicious path detected: {line}')• generic web: Use curl or wget to attempt path traversal attacks against PraisonAI endpoints.
curl 'http://praisonai/../../../../etc/passwd' # Example path traversal attempt• linux / server: Use lsof to identify processes accessing sensitive files.
lsof /etc/passwd | grep praisonaidisclosure
Estado del Exploit
EPSS
0.08% (24% percentil)
CISA SSVC
La mitigación principal para CVE-2026-35615 es actualizar PraisionAI a la versión 1.5.113 o superior. Si la actualización inmediata no es posible debido a problemas de compatibilidad o interrupciones del servicio, considere implementar medidas de seguridad adicionales como restringir el acceso al sistema PraisionAI solo a usuarios autorizados y monitorear los registros del sistema en busca de actividad sospechosa. Implementar un firewall de aplicaciones web (WAF) con reglas para bloquear solicitudes que contengan secuencias de '..' en las rutas de archivo también puede ayudar a mitigar el riesgo. Después de la actualización, confirme la corrección ejecutando pruebas de penetración para verificar que la vulnerabilidad ha sido resuelta.
Actualice PraisonAI a la versión 1.5.113 o superior para mitigar la vulnerabilidad de recorrido de directorios. La actualización corrige la validación incorrecta de rutas, evitando que los atacantes accedan a archivos arbitrarios en el sistema.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-35615 is a critical vulnerability in PraisonAI versions 1.5.0 through 4.5.112 that allows attackers to read any file on the system due to a flawed path validation check.
You are affected if you are running PraisonAI versions 1.5.0 through 4.5.112. Upgrade to version 1.5.113 or later to resolve this vulnerability.
The recommended fix is to upgrade PraisonAI to version 1.5.113 or later. As a temporary workaround, implement a WAF to block suspicious path characters.
No active exploitation campaigns have been reported as of this writing, but the vulnerability's simplicity suggests a high probability of exploitation if left unpatched.
Refer to the PraisonAI security advisory for detailed information and updates: [Replace with actual PraisonAI advisory URL when available]
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.