PraisonAI: Unvalidated api_base में SSRF passthrough() Fallback के माध्यम से

यह SSRF भेद्यता praisonai एप्लिकेशन के भीतर संवेदनशील डेटा तक अनधिकृत पहुंच की अनुमति देती है। एक हमलावर api_base पैरामीटर को नियंत्रित करके आंतरिक सेवाओं, डेटाबेस या अन्य आंतरिक संसाधनों तक पहुंच सकता है जो सामान्य रूप से बाहरी दुनिया के लिए दुर्गम हैं। इसके अतिरिक्त, हमलावर बाहरी सर्वरों पर अनुरोध करने के लिए इस भेद्यता का उपयोग कर सकता है, संभावित रूप से डेटा चोरी कर सकता है या अन्य दुर्भावनापूर्ण गतिविधियाँ कर सकता है। इस भेद्यता का उपयोग आंतरिक नेटवर्क में आगे बढ़ने के लिए भी किया जा सकता है, जिससे समझौता किए गए सिस्टम पर नियंत्रण बढ़ सकता है। यह भेद्यता लॉग4शेल जैसी अन्य SSRF भेद्यताओं के समान शोषण पैटर्न का पालन करती है, जहां हमलावर अप्रत्याशित गंतव्यों पर अनुरोध करने के लिए एप्लिकेशन की कार्यक्षमता का दुरुपयोग करते हैं।

Applications and systems utilizing praisonai versions 4.5.9 and earlier are at risk. This includes deployments where praisonai is integrated into larger AI pipelines or used to interact with internal APIs. Shared hosting environments where multiple applications share the same server instance are particularly vulnerable, as a compromise of one application could potentially lead to the exploitation of this vulnerability in others.

• python / server:

import os
import subprocess

# Check praisonai version
result = subprocess.run(['pip', 'show', 'praisonai'], capture_output=True, text=True)
version = result.stdout.split('Version: ')[1].split('\n')[0]

if version <= '4.5.9':
    print('Vulnerability detected: praisonai version is vulnerable.')
else:
    print('praisonai version is not vulnerable.')

• generic web: - Check for unusual outbound requests in server logs targeting internal IP addresses or sensitive endpoints. - Monitor for requests to cloud metadata services (e.g., http://169.254.169.254/) originating from the praisonai application.

1. 2026-04-01Disclosure

   disclosure

1. आरक्षित2026-03-31
2. प्रकाशित2026-04-01
3. संशोधित2026-04-06
4. EPSS अद्यतन2026-04-11

CVE-2026-34936 को कम करने के लिए, praisonai को तुरंत संस्करण 4.5.90 या बाद के संस्करण में अपग्रेड करने की सिफारिश की जाती है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके apibase पैरामीटर के लिए इनपुट सत्यापन और फ़िल्टरिंग लागू की जा सकती है। यह सुनिश्चित करें कि केवल विश्वसनीय डोमेन को अनुरोध करने की अनुमति है। इसके अतिरिक्त, आंतरिक संसाधनों तक पहुंच को सीमित करने के लिए नेटवर्क सेगमेंटेशन और एक्सेस नियंत्रण नीतियों को लागू करें। प्रासंगिक लॉग फ़ाइलों की नियमित रूप से निगरानी करें ताकि किसी भी असामान्य गतिविधि का पता लगाया जा सके जो इस भेद्यता के शोषण का संकेत दे सकती है। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, apibase पैरामीटर के साथ अनुरोध करके और यह सुनिश्चित करके कि वे अपेक्षित डोमेन तक ही सीमित हैं।