मुफ्त स्कैन करें
CRITICALCVE-2026-40288CVSS 9.8

PraisonAI में `type: job` वर्कफ़्लो YAML के माध्यम से गंभीर RCE (Remote Code Execution)

प्लेटफ़ॉर्म

python

घटक

praisonaiagents

में ठीक किया गया

4.5.140

1.5.141

1.5.140

AI Confidence: highNVDEPSS 0.1%समीक्षित: मई 2026
NVD पर देखें
सहेजें

CVE-2026-40288 praisonaiagents में एक रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है। यह भेद्यता हमलावरों को मनमाना कमांड निष्पादित करने की अनुमति देती है, जिससे सिस्टम पर गंभीर प्रभाव पड़ सकता है। यह भेद्यता praisonaiagents के संस्करणों 1.5.99 और उससे पहले को प्रभावित करती है। संस्करण 1.5.140 में एक फिक्स जारी किया गया है।

Python

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

requirements.txt अपलोड करेंसमर्थित प्रारूप: requirements.txt · Pipfile.lock

प्रभाव और हमले की स्थितियाँ

CVE-2026-40288 भेद्यता का शोषण करने वाला एक हमलावर praisonaiagents सर्वर पर मनमाना कोड निष्पादित कर सकता है। यह हमलावर को सिस्टम पर पूर्ण नियंत्रण प्राप्त करने, संवेदनशील डेटा चोरी करने, या अन्य दुर्भावनापूर्ण गतिविधियाँ करने की अनुमति दे सकता है। विशेष रूप से, workflow run <file.yaml> कमांड के माध्यम से YAML फ़ाइलों को लोड करने की प्रक्रिया में असुरक्षित हैंडलिंग के कारण यह संभव है। YAML फ़ाइल में type: job और उसके भीतर run:, script:, या python: जैसे चरण शामिल हो सकते हैं, जो क्रमशः शेल कमांड निष्पादन, इनलाइन पायथन निष्पादन और मनमाना पायथन स्क्रिप्ट निष्पादन को ट्रिगर करते हैं। यह भेद्यता Log4Shell जैसी शोषण पैटर्न के समान है, जहां इनपुट को अनियंत्रित रूप से संसाधित किया जाता है, जिससे हमलावर मनमाना कोड निष्पादित कर सकते हैं।

शोषण संदर्भ

CVE-2026-40288 को अभी तक CISA KEV सूची में शामिल नहीं किया गया है, लेकिन इसकी गंभीरता को देखते हुए, भविष्य में इसे शामिल किया जा सकता है। EPSS स्कोर अभी उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हैं, जो इस भेद्यता के शोषण की संभावना को बढ़ाते हैं। 2026-04-10 को CVE प्रकाशित किया गया था, जो सार्वजनिक रूप से भेद्यता के प्रकटीकरण को दर्शाता है। सक्रिय शोषण अभियान की कोई पुष्टि नहीं है, लेकिन भेद्यता की गंभीरता और PoC की उपलब्धता के कारण, शोषण का जोखिम बना हुआ है।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations utilizing praisonaiagents for workflow automation, particularly those with untrusted YAML file inputs, are at significant risk. Environments where the praisonai workflow run command is exposed to external users or systems are especially vulnerable. Teams relying on praisonaiagents for critical infrastructure or sensitive data processing should prioritize remediation.

पहचान के चरणअनुवाद हो रहा है…

• python / server:

Get-Process -Name praisonaiagents | Select-Object -ExpandProperty Path

• python / server:

journalctl -u praisonaiagents -g 'subprocess.run' | grep -i 'exploit.yaml'

• python / server:

ps aux | grep -i 'exec(' | grep -i 'praisonaiagents'

हमले की समयरेखा

  1. Disclosure

    disclosure

  2. PoC

    poc

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

EPSS

0.09% (25% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयyes
तकनीकी प्रभावtotal

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H9.8CRITICALAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकpraisonaiagents
विक्रेताosv
प्रभावित श्रेणीमें ठीक किया गया
< 4.5.139 – < 4.5.1394.5.140
< 1.5.140 – < 1.5.1401.5.141
1.5.140

कमजोरी वर्गीकरण (CWE)

CWE-78CWE-94

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन
प्रकाशन के 1 दिन बाद पैच

शमन और वर्कअराउंड

CVE-2026-40288 के लिए प्राथमिक शमन उपाय praisonaiagents को संस्करण 1.5.140 या बाद के संस्करण में अपग्रेड करना है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, YAML फ़ाइलों को लोड करते समय इनपुट सत्यापन और सैनिटाइजेशन लागू किया जा सकता है। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग दुर्भावनापूर्ण YAML फ़ाइलों को ब्लॉक करने के लिए किया जा सकता है। प्रासंगिक लॉग फ़ाइलों की निगरानी करना और असामान्य गतिविधि के लिए अलर्ट सेट करना भी महत्वपूर्ण है। praisonaiagents के कॉन्फ़िगरेशन की समीक्षा करें और सुनिश्चित करें कि केवल विश्वसनीय स्रोतों से YAML फ़ाइलें लोड की जा रही हैं। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, प्रासंगिक कमांड चलाकर और यह सुनिश्चित करके कि कोई अनपेक्षित व्यवहार नहीं है।

कैसे ठीक करें

PraisonAI को संस्करण 4.5.139 या उच्चतर में अपडेट करें, और praisonaiagents को संस्करण 1.5.140 या उच्चतर में अपडेट करें। ये संस्करण YAML फ़्लो फ़ाइलों के माध्यम से मनमाना कमांड निष्पादन को मान्य और प्रतिबंधित करके भेद्यता को ठीक करते हैं।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-40288 — RCE praisonaiagents में क्या है?

CVE-2026-40288 praisonaiagents में एक रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है जो हमलावरों को मनमाना कमांड निष्पादित करने की अनुमति देती है।

क्या मैं CVE-2026-40288 में praisonaiagents से प्रभावित हूं?

यदि आप praisonaiagents के संस्करण 1.5.99 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।

मैं CVE-2026-40288 में praisonaiagents को कैसे ठीक करूं?

praisonaiagents को संस्करण 1.5.140 या बाद के संस्करण में अपग्रेड करें।

क्या CVE-2026-40288 सक्रिय रूप से शोषण किया जा रहा है?

सक्रिय शोषण अभियान की कोई पुष्टि नहीं है, लेकिन भेद्यता की गंभीरता के कारण, शोषण का जोखिम बना हुआ है।

मैं CVE-2026-40288 के लिए praisonaiagents के आधिकारिक सलाहकार कहां पा सकता हूं?

praisonaiagents के आधिकारिक सलाहकार के लिए praisonaiagents वेबसाइट या संबंधित सुरक्षा बुलेटिन बोर्ड की जांच करें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें