Plateforme
python
Composant
praisonaiagents
Corrigé dans
4.5.140
1.5.141
1.5.140
La vulnérabilité CVE-2026-40289 affecte praisonaiagents versions inférieures ou égales à 1.5.99. Elle permet à un attaquant non authentifié de compromettre une session d'automatisation de navigateur en exploitant une absence de validation de l'en-tête Origin dans le bridge de navigateur. Cette faille permet une prise de contrôle à distance de la session, avec un impact significatif sur la confidentialité et la sécurité des données. La version corrigée est 1.5.140.
Cette vulnérabilité permet à un attaquant de se connecter au bridge de navigateur praisonaiagents via une connexion WebSocket sans authentification. En omettant l'en-tête Origin, l'attaquant peut se faire passer pour un contrôleur légitime et initier des actions d'automatisation de navigateur. Cela peut inclure l'exécution de scripts malveillants, le vol de données sensibles stockées dans le navigateur, ou la modification du comportement de l'application automatisée. Le rayon d'impact est potentiellement large, car toute session de navigateur connectée peut être compromise, et l'attaquant peut exploiter cette session pour accéder à des informations confidentielles ou effectuer des actions non autorisées.
La vulnérabilité CVE-2026-40289 a été rendue publique le 2026-04-10. Il n'y a pas d'indication d'une inscription sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La présence d'une vulnérabilité de prise de contrôle à distance sans authentification, combinée à la simplicité de l'exploitation, suggère un risque d'exploitation potentiellement élevé. Aucun PoC public n'est connu à ce jour, mais la nature de la vulnérabilité rend son exploitation relativement simple.
Organizations utilizing praisonaiagents for browser automation, particularly those with exposed internal networks or shared hosting environments, are at significant risk. Environments with legacy configurations lacking network segmentation are especially vulnerable.
• python / server:
ps aux | grep praisonaiagents• python / server:
journalctl -u praisonaiagents --since "1 hour ago" | grep "websocket connection"• generic web:
curl -I http://<praisonaiagents_server>/ws• generic web:
grep -r "start_session" /etc/praisonaiagents/config.yamldisclosure
Statut de l'Exploit
EPSS
0.07% (percentile 20%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour praisonaiagents vers la version 1.5.140, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant l'accès au port /ws du bridge de navigateur. Configurez un pare-feu pour n'autoriser que les connexions provenant de sources approuvées. Envisagez également de mettre en place une solution WAF (Web Application Firewall) pour filtrer les requêtes WebSocket malveillantes. Vérifiez après la mise à jour que le bridge de navigateur n'accepte plus les connexions WebSocket sans l'en-tête Origin approprié.
Mettez à jour PraisonAI à la version 4.5.139 ou supérieure, et praisonaiagents à la version 1.5.140 ou supérieure. Ces versions implémentent une validation d'authentification et une vérification d'origine plus robustes pour l'endpoint /ws WebSocket, atténuant ainsi le risque de détournement de session.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-40289 is a critical remote code execution vulnerability in praisonaiagents versions up to 1.5.99, allowing attackers to hijack browser automation sessions without credentials.
Yes, if you are running praisonaiagents version 1.5.99 or earlier, you are vulnerable to this attack. Upgrade to 1.5.140 immediately.
Upgrade praisonaiagents to version 1.5.140 or later. If upgrading is not possible, isolate the server and implement network segmentation.
There is currently no confirmed active exploitation, but the vulnerability's severity and ease of exploitation suggest it is a high-priority risk.
Refer to the praisonaiagents project's official security advisories and release notes for details and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.