Plateforme
python
Composant
praisonaiai
Corrigé dans
4.5.114
La vulnérabilité CVE-2026-39307 affecte PraisonAI, un système d'équipes multi-agents. Elle se manifeste par une faille de type "Zip Slip" dans la fonctionnalité d'installation de modèles, permettant l'écriture de fichiers arbitraires. Cette vulnérabilité touche les versions 1.5.113 et antérieures à 4.5.113 et est corrigée dans la version 1.5.113.
Un attaquant peut exploiter cette vulnérabilité pour écrire des fichiers arbitraires sur le système PraisonAI. Cela pourrait permettre de compromettre l'intégrité du système, d'exécuter du code malveillant, ou de voler des données sensibles. L'attaquant pourrait potentiellement modifier des fichiers de configuration, injecter des backdoors, ou même prendre le contrôle complet du serveur. La gravité de l'impact dépendra des privilèges de l'utilisateur exécutant PraisonAI et de la sensibilité des données stockées sur le système.
Cette vulnérabilité a été publiée le 2026-04-07. Il n'y a pas d'indication d'exploitation active ou de présence sur le KEV à ce jour. La probabilité d'exploitation est considérée comme moyenne, étant donné la nature relativement simple de l'exploitation de type "Zip Slip" et la disponibilité potentielle de preuves de concept publiques.
Organizations using PraisonAI for collaborative AI development and deployment are at risk, particularly those who allow users to import templates from external sources like GitHub. Shared hosting environments where multiple users share the same PraisonAI installation are also at increased risk, as a compromised template from one user could potentially affect other users.
• python: Monitor PraisonAI logs for suspicious file extraction activity, particularly attempts to write files outside the designated template directory. Look for patterns involving zipfile.extractall() and unusual file paths.
# Example: Monitor for file extraction attempts
import os
import logging
logging.basicConfig(filename='praisona.log', level=logging.INFO)
for root, _, files in os.walk('/path/to/praisona/templates'): # Replace with actual path
for file in files:
logging.info(f'File accessed: {os.path.join(root, file)}')• generic web: Monitor web server access logs for requests to download template archives from external sources. Analyze the downloaded archives for suspicious filenames or directory traversal sequences. • generic web: Check PraisonAI's configuration files for any settings related to template download locations or extraction directories. Ensure these settings are properly secured and restricted.
disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 14%)
CISA SSVC
Vecteur CVSS
La mesure de mitigation principale est de mettre à jour PraisonAI vers la version 1.5.113 ou ultérieure. En attendant la mise à jour, il est fortement recommandé de désactiver la fonctionnalité d'installation de modèles à partir de sources externes non fiables. Si la désactivation n'est pas possible, assurez-vous que les archives de modèles sont soigneusement examinées avant l'extraction pour vérifier l'absence de fichiers malveillants. Il n'existe pas de contournement WAF ou de règles de proxy spécifiques à cette vulnérabilité, la mise à jour étant la solution privilégiée. Après la mise à jour, vérifiez l'intégrité des fichiers système et assurez-vous qu'aucun fichier suspect n'a été créé.
Actualice PraisonAI a la versión 1.5.113 o superior para mitigar la vulnerabilidad de deslizamiento de archivos. Asegúrese de que las plantillas se extraigan en un directorio seguro y controlado para evitar la escritura de archivos fuera del directorio de destino.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-39307 is a HIGH severity vulnerability in PraisonAI versions 1.5.113 and below that allows attackers to write arbitrary files during template installation due to a "Zip Slip" flaw.
You are affected if you are using PraisonAI versions 1.5.113 or earlier. Upgrade to version 1.5.113 or later to resolve this vulnerability.
The recommended fix is to upgrade PraisonAI to version 1.5.113 or later. If immediate upgrade is not possible, restrict template download sources and implement input validation.
While no active exploitation has been confirmed, the vulnerability is considered medium risk due to the ease of exploitation and the prevalence of "Zip Slip" attacks.
Refer to the PraisonAI security advisory for detailed information and updates regarding CVE-2026-39307: [https://www.praisona.ai/security/advisories](https://www.praisona.ai/security/advisories)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.