Plateforme
python
Composant
praisonai
Corrigé dans
4.5.114
4.5.113
La vulnérabilité CVE-2026-39306 est une faille de traversal de chemin (Path Traversal) affectant praisonai, une application Python. Elle permet à un attaquant d'écrire des fichiers arbitraires sur le système de la victime en exploitant une validation insuffisante des chemins d'accès lors de l'extraction d'archives .praison. Cette vulnérabilité touche les versions de praisonai inférieures ou égales à 4.5.98 et a été corrigée dans la version 4.5.113.
Un attaquant peut exploiter cette vulnérabilité en téléchargeant une archive .praison malveillante contenant des entrées de traversal de chemin (../). Lors de l'extraction de cette archive, praisonai écrira des fichiers en dehors du répertoire de destination prévu, potentiellement écrasant des fichiers système critiques ou injectant des fichiers malveillants. L'impact principal est la compromission de l'intégrité des données et potentiellement la prise de contrôle du système. Cette vulnérabilité affecte à la fois les pulls locaux et HTTP du registre de recettes, augmentant la surface d'attaque. L'absence de validation des chemins d'accès rend l'exploitation relativement simple.
La vulnérabilité a été rendue publique le 2026-04-06. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne (EPSS score non disponible), compte tenu de la simplicité de l'exploitation et de la nature sensible des données potentiellement compromises. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA.
Organizations utilizing PraisonAI for recipe management, particularly those relying on user-uploaded recipes, are at risk. Shared hosting environments where multiple users can upload recipes pose a heightened risk, as a malicious recipe could impact other users on the same server. Users with legacy PraisonAI configurations or those who haven't implemented robust input validation practices are also more vulnerable.
• python / server:
import os
import tarfile
def check_tar_archive(archive_path):
try:
with tarfile.open(archive_path, 'r') as tar:
for member in tar.getmembers():
if '..' in member.name:
print(f"Potential path traversal detected in: {member.name}")
return True
return False
except Exception as e:
print(f"Error processing archive: {e}")
return False
# Example usage
archive_path = '/path/to/your/archive.praison'
if check_tar_archive(archive_path):
print("Malicious archive detected!")
else:
print("Archive appears safe.")• generic web: Check for unusual file modifications in the recipe pull output directory. Monitor user activity for suspicious file creation or modification patterns.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour praisonai vers la version 4.5.113 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de limiter l'impact en restreignant les autorisations d'écriture du processus praisonai au répertoire de recettes. Il est également recommandé de désactiver temporairement les pulls HTTP du registre de recettes si possible. Surveiller les journaux système pour détecter des tentatives d'écriture de fichiers en dehors du répertoire attendu peut aider à identifier une exploitation en cours. Une solution temporaire pourrait consister à implémenter une validation stricte des chemins d'accès dans le code source avant l'appel à tar.extractall(), bien que cela nécessite une expertise en Python.
Actualice a la versión 1.5.113 o posterior para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización valida las rutas de los miembros del archivo antes de la extracción, previniendo la escritura de archivos fuera del directorio de salida especificado.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-39306 is a Path Traversal vulnerability in PraisonAI versions up to 4.5.98, allowing attackers to write arbitrary files during recipe pulls.
You are affected if you are using PraisonAI versions 4.5.98 or earlier. Upgrade to 4.5.113 to mitigate the vulnerability.
Upgrade PraisonAI to version 4.5.113 or later. As a temporary workaround, restrict recipe pull directories and implement server-side input validation.
There are currently no confirmed reports of active exploitation, but the vulnerability's severity warrants immediate attention and remediation.
Refer to the PraisonAI security advisories on their official website or GitHub repository for the latest information and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.