CVE-2026-34935: PraisonAI में कमांड इंजेक्शन से RCE भेद्यता
प्लेटफ़ॉर्म
python
कॉम्पोनेन्ट
praisonai
ठीक किया गया
4.5.69
CVE-2026-34935, PraisonAI में 4.5.15 से 4.5.69 से पहले के संस्करणों में एक कमांड इंजेक्शन भेद्यता है। --mcp CLI तर्क को सीधे shlex.split() में पारित किया जाता है और कॉल श्रृंखला के माध्यम से anyio.open_process() को बिना किसी सत्यापन, अनुमति सूची जांच या सैनिटाइजेशन के भेजा जाता है, जिससे प्रक्रिया उपयोगकर्ता के रूप में मनमाना OS कमांड निष्पादित किया जा सकता है। इस समस्या को संस्करण 4.5.69 में ठीक किया गया है।
कैसे ठीक करें
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
अक्सर पूछे जाने वाले सवाल
CVE-2026-34935 क्या है?
यह PraisonAI में एक कमांड इंजेक्शन भेद्यता है जो मनमाना OS कमांड निष्पादन की अनुमति देती है।
क्या मैं प्रभावित हूँ?
यदि आप PraisonAI संस्करण 4.5.15 से 4.5.69 से पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हो सकते हैं।
इसे कैसे ठीक करें?
PraisonAI को संस्करण 4.5.69 या उसके बाद के संस्करण में अपडेट करें।
अपनी निर्भरताओं की स्वचालित निगरानी करें
जब नई कमज़ोरियाँ आपके प्रोजेक्ट को प्रभावित करें तो अलर्ट पाएं।
मुफ़्त शुरू करें