प्लेटफ़ॉर्म
python
घटक
praisonaiagents
में ठीक किया गया
1.5.91
1.5.90
CVE-2026-34938, PraisonAI Agents में 1.5.90 से पहले के संस्करणों में एक रिमोट कोड निष्पादन भेद्यता है। इस भेद्यता के कारण, एक हमलावर safegetattr रैपर को ओवरराइड किए गए startswith() विधि के साथ एक str सबक्लास पास करके तीन-परत सैंडबॉक्स को पूरी तरह से बायपास कर सकता है, जिससे होस्ट पर मनमाना OS कमांड निष्पादित किया जा सकता है। इस समस्या को संस्करण 1.5.90 में ठीक किया गया है।
CVE-2026-34938 PraisonAI को प्रभावित करता है, विशेष रूप से praisonai-agents के भीतर executecode() फ़ंक्शन को। यह भेद्यता हमलावर को लागू सुरक्षा परतों को दरकिनार करते हुए, मनमाना ऑपरेटिंग सिस्टम कोड निष्पादित करने की अनुमति देती है। समस्या safe_getattr द्वारा startswith() विधि को ओवरराइड करने वाले सबक्लास के साथ str ऑब्जेक्ट को कैसे संभाला जाता है, इसमें निहित है। इस प्रकार के ऑब्जेक्ट प्रदान करके, हमलावर सुरक्षा को दरकिनार कर सकता है और PraisonAI प्रक्रिया के विशेषाधिकारों के साथ ऑपरेटिंग सिस्टम कमांड निष्पादित कर सकता है। CVSS गंभीरता को 10.0 पर रेट किया गया है, जो एक गंभीर जोखिम दर्शाता है। प्रभावित संस्करण 1.5.90 से पहले हैं। इस भेद्यता का सफल शोषण सिस्टम के पूर्ण उल्लंघन का कारण बन सकता है।
इस भेद्यता का शोषण executecode() फ़ंक्शन को कस्टम str वर्ग पास करके किया जाता है। यह कस्टम वर्ग startswith() विधि को ओवरराइड करता है। इस ऑब्जेक्ट के साथ safegetattr को कॉल करने पर, सुरक्षा जांच को दरकिनार कर दिया जाता है, जिससे मनमाना कोड निष्पादन सक्षम हो जाता है। हमलावर को executecode() को पारित किए गए तर्कों को प्रभावित करने में सक्षम होना चाहिए। यह उपयोगकर्ता इनपुट के हेरफेर या PraisonAI वातावरण में दुर्भावनापूर्ण कोड के इंजेक्शन के माध्यम से प्राप्त किया जा सकता है। शोषण की जटिलता अपेक्षाकृत कम है, क्योंकि इसके लिए विशेष कौशल या उपकरणों की आवश्यकता नहीं होती है।
एक्सप्लॉइट स्थिति
EPSS
0.13% (33% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-34938 को कम करने का समाधान PraisonAI को संस्करण 1.5.90 या उच्चतर में अपडेट करना है। इस संस्करण में एक फिक्स शामिल है जो safegetattr फ़ंक्शन को पारित किए गए ऑब्जेक्ट के प्रकार को सही ढंग से मान्य करके भेद्यता को संबोधित करता है। इस बीच, एक अस्थायी उपाय के रूप में, executecode() फ़ंक्शन तक पहुंच को विश्वसनीय उपयोगकर्ताओं और प्रक्रियाओं तक सीमित करें। executecode() का उपयोग करने वाले किसी भी कोड की समीक्षा और ऑडिट करना भी उचित है ताकि संभावित हमले के प्रवेश बिंदुओं की पहचान की जा सके। PraisonAI चलाने वाले खातों के लिए न्यूनतम विशेषाधिकार के सिद्धांत को लागू करने से सफल शोषण के मामले में प्रभाव को कम करने में मदद मिल सकती है।
Actualice la biblioteca PraisonAI Agents a la versión 1.5.90 o superior para mitigar la vulnerabilidad de escape de la sandbox. Esta actualización corrige el problema al evitar que se ejecute código Python no seguro a través de la manipulación del método `startswith()` de una subclase `str`.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
PraisonAI एक AI प्लेटफ़ॉर्म है जो कार्यों को स्वचालित करने के लिए एजेंटों का उपयोग करता है। यह भेद्यता इस प्लेटफ़ॉर्म के एक विशिष्ट घटक को प्रभावित करती है।
CVSS 10.0 उच्चतम गंभीरता स्तर को इंगित करता है, जिसका अर्थ है कि भेद्यता सुरक्षा के लिए एक गंभीर जोखिम पैदा करती है।
आपके द्वारा उपयोग किए जा रहे PraisonAI संस्करण की जांच करें। यदि यह 1.5.90 से पहले का है, तो आप संभावित रूप से प्रभावित हैं।
execute_code() फ़ंक्शन तक पहुंच को प्रतिबंधित करें और संभावित हमले के प्रवेश बिंदुओं की पहचान करने के लिए इसके उपयोग की ऑडिट करें।
एक हमलावर PraisonAI प्रक्रिया के विशेषाधिकारों के साथ किसी भी ऑपरेटिंग सिस्टम कमांड को निष्पादित कर सकता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।