Plateforme
python
Composant
praisonai
Corrigé dans
4.5.91
4.5.90
CVE-2026-34934 est une vulnérabilité d'injection SQL dans PraisonAI. Un attaquant peut stocker un ID de thread malveillant via update_thread, ce qui permet d'exécuter une charge utile injectée lors du chargement de la liste des threads, accordant ainsi un accès complet à la base de données. Cette vulnérabilité affecte les versions inférieures à 4.5.90. La version 4.5.90 corrige ce problème.
La vulnérabilité CVE-2026-34934 dans PraisonAI permet à un attaquant d'obtenir un accès complet à la base de données. Cela est dû à un défaut dans la fonction getalluserthreads, qui construit des requêtes SQL sans une bonne désinfection des ID de thread. Un attaquant peut injecter du code malveillant dans un ID de thread via la fonction updatethread. Lorsque l'application charge la liste des threads, ce code injecté s'exécute, permettant à l'attaquant d'exécuter des commandes arbitraires sur la base de données. La gravité de cette vulnérabilité est élevée (CVSS 9.8) en raison de son potentiel de compromission de l'intégrité et de la confidentialité des données.
Un attaquant pourrait exploiter cette vulnérabilité en stockant un ID de thread malveillant dans la base de données en utilisant la fonction update_thread. Cet ID de thread malveillant contiendrait du code SQL injecté. Lorsque l'application tente de récupérer la liste des threads utilisateur, la requête SQL résultante s'exécutera avec le code injecté, permettant à l'attaquant d'accéder à la base de données et d'exécuter potentiellement des commandes arbitraires.
Organizations deploying praisonai, particularly those using older versions (≤4.5.9) and those with sensitive data stored in the database, are at significant risk. Shared hosting environments where multiple users share the same database instance are also particularly vulnerable, as an attacker could potentially compromise the entire environment through a single praisonai instance.
• python / server:
grep -r "await data_layer.update_thread(thread_id=" .*/sql_alchemy.py• python / server:
journalctl -u praisonai -f | grep "SQL error"• generic web:
curl -I http://your-praisonai-instance/threads?thread_id='; DROP TABLE users;--disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 20%)
CISA SSVC
Vecteur CVSS
Pour atténuer cette vulnérabilité, il est recommandé de mettre à jour PraisonAI à la version 4.5.90 ou supérieure. Cette version inclut une correction qui désinfecte les ID de thread avant qu'ils ne soient utilisés dans les requêtes SQL. De plus, examinez le code source pour identifier et corriger toute autre instance de construction de requêtes SQL avec des f-strings sans une bonne désinfection. La mise en œuvre du principe du moindre privilège pour les comptes de base de données peut également aider à limiter l'impact d'une éventuelle exploitation.
Actualice PraisonAI a la versión 4.5.90 o superior para mitigar la vulnerabilidad de inyección SQL de segundo orden. Asegúrese de que las consultas SQL no construyan consultas SQL dinámicas con datos no escapados de la base de datos. Valide y escape adecuadamente todas las entradas del usuario antes de usarlas en consultas SQL.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
L'injection SQL est une technique d'attaque qui permet à un attaquant d'insérer du code SQL malveillant dans une requête SQL, ce qui peut lui permettre d'accéder à des données sensibles, de modifier des données ou même d'exécuter des commandes sur le serveur.
Si vous utilisez une version de PraisonAI antérieure à 4.5.90, vous êtes probablement affecté par cette vulnérabilité. Vérifiez votre version installée et mettez à jour dès que possible.
Si vous suspectez que votre base de données a été compromise, vous devez immédiatement informer votre équipe de sécurité et prendre des mesures pour contenir les dommages, tels que modifier les mots de passe et examiner les journaux d'audit.
Il existe plusieurs outils qui peuvent vous aider à détecter l'injection SQL, notamment des outils d'analyse statique de code et des outils de test d'intrusion.
En plus de mettre à jour PraisonAI, vous pouvez prendre d'autres mesures de sécurité, telles que la mise en œuvre du principe du moindre privilège, l'utilisation de requêtes paramétrées et la validation de toutes les entrées utilisateur.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.