Plateforme
python
Composant
praisonaiagents
Corrigé dans
1.5.91
1.5.90
CVE-2026-34938 est une vulnérabilité d'exécution de code à distance dans PraisonAI Agents. Un attaquant peut exécuter des commandes arbitraires sur le système d'exploitation hôte en contournant le sandbox. Cette vulnérabilité affecte les versions inférieures à 1.5.90. La version 1.5.90 corrige ce problème.
La CVE-2026-34938 affecte PraisonAI, plus précisément la fonction executecode() au sein de praisonai-agents. Cette vulnérabilité permet à un attaquant d'exécuter du code arbitraire du système d'exploitation, en contournant les couches de sécurité mises en place. Le problème réside dans la manière dont safe_getattr gère les objets de type str qui sont des sous-classes avec une méthode startswith() redéfinie. En fournissant un tel objet, l'attaquant peut contourner les protections et exécuter des commandes du système d'exploitation avec les privilèges du processus PraisonAI. La sévérité du CVSS est notée à 10.0, indiquant un risque critique. Les versions affectées sont antérieures à 1.5.90. L'exploitation réussie de cette vulnérabilité pourrait entraîner une compromission complète du système.
La vulnérabilité est exploitée en passant une classe str personnalisée à la fonction executecode(). Cette classe personnalisée redéfinit la méthode startswith(). Lorsque safegetattr est appelé avec cet objet, la vérification de sécurité est contournée, permettant l'exécution de code arbitraire. L'attaquant doit avoir la capacité d'influencer les arguments passés à executecode(). Cela pourrait être réalisé par la manipulation des entrées utilisateur ou l'injection de code malveillant dans l'environnement PraisonAI. La complexité de l'exploitation est relativement faible, car elle ne nécessite pas de compétences ou d'outils spécialisés.
Statut de l'Exploit
EPSS
0.13% (percentile 33%)
CISA SSVC
Vecteur CVSS
La solution pour atténuer la CVE-2026-34938 est de mettre à jour PraisonAI vers la version 1.5.90 ou supérieure. Cette version inclut une correction qui résout la vulnérabilité en validant correctement le type d'objet passé à la fonction safegetattr. En attendant, comme mesure temporaire, restreignez l'accès à la fonction executecode() aux utilisateurs et processus de confiance. Il est également conseillé de revoir et d'auditer tout code qui utilise executecode() afin d'identifier les points d'entrée d'attaque potentiels. L'application du principe du moindre privilège pour les comptes exécutant PraisonAI peut aider à limiter l'impact en cas d'exploitation réussie.
Actualice la biblioteca PraisonAI Agents a la versión 1.5.90 o superior para mitigar la vulnerabilidad de escape de la sandbox. Esta actualización corrige el problema al evitar que se ejecute código Python no seguro a través de la manipulación del método `startswith()` de una subclase `str`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
PraisonAI est une plateforme d'intelligence artificielle qui utilise des agents pour automatiser des tâches. La vulnérabilité affecte un composant spécifique de cette plateforme.
CVSS 10.0 indique le niveau de sévérité le plus élevé, ce qui signifie que la vulnérabilité représente un risque de sécurité critique.
Vérifiez la version de PraisonAI que vous utilisez. Si elle est antérieure à 1.5.90, vous êtes potentiellement affecté.
Restreignez l'accès à la fonction execute_code() et auditez son utilisation pour identifier les points d'entrée d'attaque potentiels.
Un attaquant peut exécuter n'importe quelle commande du système d'exploitation avec les privilèges du processus PraisonAI.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.