मुफ्त स्कैन करें
HIGHCVE-2026-39307CVSS 8.1

प्रैसनएआई टेम्पलेट्स निष्कर्षण में एक मनमाना फ़ाइल लेखन (ज़िप स्लिप) भेद्यता है

प्लेटफ़ॉर्म

python

घटक

praisonaiai

में ठीक किया गया

4.5.114

AI Confidence: highNVDEPSS 0.0%समीक्षित: मई 2026
NVD पर देखें
सहेजें

CVE-2026-39307 PraisonAI में एक आर्बिट्ररी फ़ाइल एक्सेस भेद्यता है। यह भेद्यता PraisonAI के टेम्पलेट इंस्टॉलेशन सुविधा में मौजूद है, जहाँ बाहरी स्रोतों से टेम्पलेट आर्काइव डाउनलोड और निकालने के दौरान, फ़ाइलों को इच्छित निष्कर्षण निर्देशिका के बाहर लिखने की अनुमति मिलती है। इससे हमलावर मनमाने ढंग से फ़ाइलें लिख सकते हैं, जिससे सिस्टम की सुरक्षा से समझौता हो सकता है। यह भेद्यता PraisonAI के संस्करण 1.5.113 से कम संस्करणों को प्रभावित करती है और संस्करण 1.5.113 में ठीक की गई है।

Python

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

requirements.txt अपलोड करेंसमर्थित प्रारूप: requirements.txt · Pipfile.lock

प्रभाव और हमले की स्थितियाँ

इस भेद्यता का फायदा उठाकर, एक हमलावर PraisonAI सिस्टम पर मनमाने ढंग से फ़ाइलें लिख सकता है। इसका मतलब है कि वे महत्वपूर्ण सिस्टम फ़ाइलों को संशोधित कर सकते हैं, दुर्भावनापूर्ण कोड इंजेक्ट कर सकते हैं, या सिस्टम के सामान्य कामकाज को बाधित कर सकते हैं। इस भेद्यता का उपयोग सिस्टम पर पूर्ण नियंत्रण हासिल करने के लिए किया जा सकता है। चूंकि PraisonAI एक मल्टी-एजेंट टीम सिस्टम है, इसलिए इस भेद्यता का फायदा उठाकर हमलावर कई एजेंटों को प्रभावित कर सकता है और व्यापक क्षति पहुंचा सकता है। यह भेद्यता लॉग4शेल जैसी अन्य भेद्यताओं के समान शोषण पैटर्न का उपयोग कर सकती है, जहाँ हमलावर सिस्टम को अनपेक्षित रूप से कार्य करने के लिए मजबूर करते हैं।

शोषण संदर्भ

CVE-2026-39307 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन यह सार्वजनिक रूप से उपलब्ध है और इसका फायदा उठाया जा सकता है। इस भेद्यता को KEV (Know Exploited Vulnerabilities) सूची में जोड़ा गया है, जो इंगित करता है कि इसका शोषण किया जा सकता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हैं, जो इस भेद्यता का फायदा उठाने की संभावना को बढ़ाते हैं। NVD (National Vulnerability Database) और CISA (Cybersecurity and Infrastructure Security Agency) ने इस भेद्यता के बारे में जानकारी प्रकाशित की है।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations using PraisonAI for collaborative AI development and deployment are at risk, particularly those who allow users to import templates from external sources like GitHub. Shared hosting environments where multiple users share the same PraisonAI installation are also at increased risk, as a compromised template from one user could potentially affect other users.

पहचान के चरणअनुवाद हो रहा है…

• python: Monitor PraisonAI logs for suspicious file extraction activity, particularly attempts to write files outside the designated template directory. Look for patterns involving zipfile.extractall() and unusual file paths.

# Example: Monitor for file extraction attempts
import os
import logging

logging.basicConfig(filename='praisona.log', level=logging.INFO)

for root, _, files in os.walk('/path/to/praisona/templates'): # Replace with actual path
    for file in files:
        logging.info(f'File accessed: {os.path.join(root, file)}')

• generic web: Monitor web server access logs for requests to download template archives from external sources. Analyze the downloaded archives for suspicious filenames or directory traversal sequences. • generic web: Check PraisonAI's configuration files for any settings related to template download locations or extraction directories. Ensure these settings are properly secured and restricted.

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

EPSS

0.05% (14% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H8.1HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionRequiredक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityNoneसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकpraisonaiai
विक्रेताMervinPraison
प्रभावित श्रेणीमें ठीक किया गया
< 4.5.113 – < 4.5.1134.5.114

कमजोरी वर्गीकरण (CWE)

CWE-22

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

CVE-2026-39307 को कम करने के लिए, PraisonAI को तुरंत संस्करण 1.5.113 या उच्चतर में अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, बाहरी स्रोतों से डाउनलोड किए गए टेम्पलेट आर्काइव को निष्कर्षण निर्देशिका के बाहर फ़ाइलों को लिखने से रोकने के लिए फ़ाइल सिस्टम अनुमतियों को सीमित किया जा सकता है। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग किया जा सकता है ताकि दुर्भावनापूर्ण अनुरोधों को फ़िल्टर किया जा सके जो इस भेद्यता का फायदा उठाने का प्रयास करते हैं। PraisonAI के कॉन्फ़िगरेशन की नियमित रूप से समीक्षा करना और यह सुनिश्चित करना महत्वपूर्ण है कि सभी सुरक्षा सेटिंग्स सही ढंग से कॉन्फ़िगर की गई हैं। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, PraisonAI को नवीनतम सुरक्षा पैच के साथ अपडेट करने के बाद, सिस्टम की अखंडता को सत्यापित करने के लिए फ़ाइल सिस्टम अनुमतियों की जांच करें।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice PraisonAI a la versión 1.5.113 o superior para mitigar la vulnerabilidad de deslizamiento de archivos.  Asegúrese de que las plantillas se extraigan en un directorio seguro y controlado para evitar la escritura de archivos fuera del directorio de destino.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-39307 — आर्बिट्ररी फ़ाइल एक्सेस PraisonAI में क्या है?

CVE-2026-39307 PraisonAI में एक आर्बिट्ररी फ़ाइल एक्सेस भेद्यता है जो हमलावरों को मनमाने ढंग से फ़ाइलें लिखने की अनुमति देती है। यह टेम्पलेट इंस्टॉलेशन सुविधा में ज़िप स्लिप भेद्यता के कारण होता है।

क्या मैं CVE-2026-39307 से PraisonAI में प्रभावित हूं?

यदि आप PraisonAI के संस्करण 1.5.113 से कम संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं PraisonAI में CVE-2026-39307 को कैसे ठीक करूं?

CVE-2026-39307 को ठीक करने के लिए, PraisonAI को संस्करण 1.5.113 या उच्चतर में अपडेट करें।

क्या CVE-2026-39307 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2026-39307 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन यह सार्वजनिक रूप से उपलब्ध है और इसका फायदा उठाया जा सकता है।

मैं CVE-2026-39307 के लिए PraisonAI के आधिकारिक सलाहकार कहां पा सकता हूं?

कृपया PraisonAI की आधिकारिक वेबसाइट पर जाएँ या सुरक्षा सलाहकार के लिए PraisonAI के सहायता चैनलों से संपर्क करें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें