Plataforma
nodejs
Componente
praisonai
Corregido en
4.5.114
El CVE-2026-39308 describe una vulnerabilidad de Path Traversal en PraisonAI Recipe Registry, un sistema para equipos multi-agente. Esta falla permite a un atacante escribir archivos arbitrariamente en el sistema de registro, incluso si la solicitud final es rechazada. La vulnerabilidad afecta a las versiones desde 1.5.0 hasta, pero sin incluir, la versión 4.5.113. Una solución es actualizar a la versión 1.5.113.
Un atacante puede explotar esta vulnerabilidad insertando secuencias de '..' en el manifiesto JSON de un paquete de recetas publicado. Esto permite al atacante manipular la ruta del sistema de archivos donde se guardan los paquetes, escribiendo archivos fuera del directorio raíz configurado del registro. Aunque la solicitud de publicación es rechazada, el archivo ya ha sido escrito. El impacto principal es la posibilidad de comprometer la integridad del sistema de registro, potencialmente permitiendo la ejecución de código malicioso o la modificación de archivos de configuración críticos. La severidad es alta debido a la posibilidad de acceso no autorizado y manipulación de datos.
Este CVE fue publicado el 2026-04-07. No se ha reportado explotación activa en entornos reales, pero la naturaleza de la vulnerabilidad (Path Traversal) la hace susceptible a ser explotada. No se ha añadido a la lista KEV de CISA. La probabilidad de explotación se considera media, dado que requiere la capacidad de publicar paquetes de recetas en el registro, pero no requiere autenticación en muchos casos.
Organizations utilizing PraisonAI Recipe Registry in production environments, particularly those with automated deployment pipelines or allowing external recipe bundle uploads, are at risk. Shared hosting environments where multiple users can upload recipe bundles are also particularly vulnerable.
• nodejs / server:
grep -r '../' /var/log/nginx/access.log• nodejs / server:
journalctl -u praisonai-registry -g 'manifest.json'• generic web:
curl -I http://your-praisonai-registry/api/v1/recipes/upload | grep 'Server:'disclosure
Estado del Exploit
EPSS
0.06% (20% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar PraisonAI Recipe Registry a la versión 1.5.113 o superior, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda revisar y restringir los permisos de escritura en el directorio raíz del registro. Implementar una validación más estricta del nombre y la versión del manifiesto antes de escribir cualquier archivo en el sistema de archivos puede ayudar a prevenir la explotación. Monitorear los logs del sistema en busca de intentos de escritura de archivos fuera del directorio esperado también es una medida preventiva.
Actualice PraisonAI a la versión 1.5.113 o posterior para mitigar la vulnerabilidad de recorrido de ruta. Asegúrese de que el acceso al registro de recetas esté protegido con un token para evitar el acceso no autorizado. Revise y configure adecuadamente los permisos de escritura en el directorio del registro para limitar el acceso a los archivos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-39308 is a Path Traversal vulnerability affecting PraisonAI Recipe Registry versions 1.5.0 through 4.5.113, allowing attackers to potentially write arbitrary files to the registry host.
You are affected if you are running PraisonAI Recipe Registry versions 1.5.0 through 4.5.113. Upgrade to version 1.5.113 or later to mitigate the risk.
Upgrade PraisonAI Recipe Registry to version 1.5.113 or later. As a temporary workaround, implement a WAF rule to block requests with directory traversal sequences in the manifest file name.
There are currently no confirmed reports of active exploitation of CVE-2026-39308.
Refer to the PraisonAI security advisory for detailed information and updates: [https://praisonai.com/security/advisories](https://praisonai.com/security/advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.