Plataforma
python
Componente
praisonai
Corregido en
4.5.129
4.5.128
La vulnerabilidad CVE-2026-40113 afecta a praisonai, específicamente en versiones menores o iguales a 4.5.98. Se debe a una construcción insegura de la cadena de argumentos para el comando gcloud run deploy --set-env-vars en el script deploy.py. Esta falla permite a un atacante inyectar variables de entorno arbitrarias en el servicio Cloud Run desplegado, comprometiendo potencialmente su seguridad. La solución es actualizar a la versión 4.5.128 o superior.
Esta vulnerabilidad permite a un atacante inyectar variables de entorno arbitrarias en un servicio Cloud Run desplegado a través de praisonai. El atacante puede lograr esto insertando una coma dentro de los valores de openaimodel, openaikey, o openai_base durante el despliegue. Como gcloud utiliza la coma como separador de pares clave-valor en --set-env-vars, cualquier texto después de la coma se interpretará como una nueva variable de entorno. Esto podría permitir la ejecución de código arbitrario, el acceso a información sensible almacenada como variables de entorno, o la modificación del comportamiento del servicio desplegado. El impacto potencial es significativo, pudiendo comprometer la confidencialidad, integridad y disponibilidad del servicio Cloud Run.
Esta vulnerabilidad fue publicada el 2026-04-10. No se ha reportado su explotación activa a la fecha. La probabilidad de explotación se considera media debido a la relativa facilidad de identificar y explotar la vulnerabilidad, aunque requiere acceso al proceso de despliegue de praisonai. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de la redacción. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Organizations using praisonai to deploy AI models to Google Cloud Run are at risk, particularly those relying on user-provided or external data for the openaimodel, openaikey, and openai_base environment variables. Shared hosting environments or deployments with lax input validation practices are especially vulnerable.
• python / server:
import os
import subprocess
def check_deploy_script(filepath):
with open(filepath, 'r') as f:
content = f.read()
if 'gcloud run deploy --set-env-vars' in content and 'openai_model' in content and 'openai_key' in content and 'openai_base' in content and ',' in content:
return True
return False
# Example usage
filepath = 'deploy.py'
if check_deploy_script(filepath):
print(f'Potential vulnerability detected in {filepath}')
else:
print('No vulnerability detected.')• generic web:
curl -I <your_cloud_run_service_url>Inspect the response headers for any unexpected or suspicious environment variables that might indicate exploitation.
disclosure
patch
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar praisonai a la versión 4.5.128 o superior, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda revisar el script deploy.py y agregar validación para asegurar que los valores de openaimodel, openaikey, y openai_base no contengan comas. Se puede implementar una validación simple que elimine o escape las comas antes de construir la cadena de argumentos. Además, se recomienda revisar las políticas de seguridad de Cloud Run para asegurar que las variables de entorno sensibles estén adecuadamente protegidas. Después de la actualización, confirme que el despliegue se realiza correctamente y que las variables de entorno se configuran como se espera.
Actualice PraisonAI a la versión 4.5.128 o posterior para mitigar la vulnerabilidad. Esta versión corrige la falta de validación de los valores de openai_model, openai_key y openai_base, evitando la inyección de variables de entorno arbitrarias en el entorno de Cloud Run.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-40113 is a Remote Code Execution vulnerability in praisonai versions prior to 4.5.128, allowing attackers to inject arbitrary environment variables into Google Cloud Run deployments.
You are affected if you are using praisonai version 4.5.98 or earlier and deploy to Google Cloud Run.
Upgrade praisonai to version 4.5.128 or later. As a temporary workaround, sanitize environment variable values before deployment.
There are currently no confirmed reports of active exploitation, but the vulnerability's nature makes it likely that exploitation will occur.
Refer to the praisonai project's release notes and security advisories for the official announcement and details regarding this vulnerability.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.