प्लेटफ़ॉर्म
python
घटक
praisonai
में ठीक किया गया
4.5.98
4.5.97
PraisonAI Gateway एक मल्टी-एजेंट टीम सिस्टम है। संस्करण 4.5.97 से पहले, गेटवे सर्वर /ws पर WebSocket कनेक्शन स्वीकार करता था और /info पर एजेंट टोपोलॉजी प्रदान करता था, बिना किसी प्रमाणीकरण के। इसका मतलब है कि कोई भी नेटवर्क क्लाइंट कनेक्ट कर सकता है, पंजीकृत एजेंटों को सूचीबद्ध कर सकता है और एजेंटों और उनके टूलसेट को मनमाना संदेश भेज सकता है। इस भेद्यता को संस्करण 4.5.97 में ठीक कर दिया गया है।
PraisonAI Gateway में CVE-2026-34952 अनधिकृत हमलावरों को संवेदनशील जानकारी तक पहुंचने और संभावित रूप से मनमाना कोड निष्पादित करने की अनुमति देता है। /ws और /info एंडपॉइंट पर प्रमाणीकरण की कमी किसी भी नेटवर्क क्लाइंट को कनेक्ट करने, पंजीकृत एजेंटों को सूचीबद्ध करने और इन एजेंटों और उनके टूलसेट को मनमाना संदेश भेजने की अनुमति देती है। इससे डेटा का रिसाव, स्वचालित प्रक्रियाओं का हेरफेर या एजेंटों की अनुमतियों और क्षमताओं के आधार पर सिस्टम का समझौता हो सकता है। CVSS स्कोर 9.1 है, जो एक गंभीर जोखिम को दर्शाता है, जिसके लिए तत्काल ध्यान देने की आवश्यकता है।
PraisonAI Gateway के चलने वाले नेटवर्क तक पहुंच रखने वाला एक हमलावर इस भेद्यता का फायदा उठा सकता है। हमलावर केवल /info को HTTP GET अनुरोध भेजकर सभी पंजीकृत एजेंटों की सूची प्राप्त कर सकता है। फिर वे इन एजेंटों से कनेक्ट करने और उन्हें मनमाना कमांड भेजने के लिए /ws एंडपॉइंट का उपयोग कर सकते हैं। शोषण की आसानी, संभावित प्रभाव के साथ मिलकर, इस भेद्यता को विशेष रूप से खतरनाक बनाती है। प्रमाणीकरण की कमी का मतलब है कि जानकारी तक पहुंचने और एजेंटों को नियंत्रित करने के लिए किसी क्रेडेंशियल की आवश्यकता नहीं है।
Organizations deploying PraisonAI Gateway in environments with limited network segmentation are particularly at risk. Shared hosting environments or deployments where the Gateway is directly exposed to the internet are also highly vulnerable. Legacy configurations that haven't been regularly updated are also susceptible.
• python / server: Monitor PraisonAI Gateway logs for unauthorized WebSocket connections and requests to /info. Use journalctl -u praisonai to filter for relevant events.
• generic web: Use curl -I <gateway_ip>/info to check if the endpoint returns agent information without authentication.
• generic web: Monitor network traffic for unusual WebSocket connections to the PraisonAI Gateway on port 80 or 443.
• generic web: Check access logs for requests to /ws and /info originating from unexpected IP addresses.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (13% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-34952 के लिए प्राथमिक शमन PraisonAI Gateway को संस्करण 4.5.97 या उच्चतर में अपडेट करना है। इस संस्करण में सुरक्षा फिक्स शामिल हैं जो /ws और /info एंडपॉइंट तक पहुंचने के लिए आवश्यक प्रमाणीकरण को लागू करते हैं। इस बीच, एक अस्थायी उपाय के रूप में, PraisonAI Gateway के चलने वाले नेटवर्क तक नेटवर्क एक्सेस को प्रतिबंधित करें, केवल विश्वसनीय स्रोतों तक कनेक्टिविटी को सीमित करें। सर्वर लॉग की सक्रिय रूप से निगरानी करना अनधिकृत कनेक्शन का पता लगाने और उनका जवाब देने में भी मदद कर सकता है। दुर्भावनापूर्ण ट्रैफ़िक को ब्लॉक करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करने पर विचार करें।
PraisonAI को संस्करण 4.5.97 या उससे ऊपर के संस्करण में अपडेट करें ताकि भेद्यता को कम किया जा सके। यह अपडेट (WebSockets) और एजेंट जानकारी तक पहुंच की सुरक्षा के लिए आवश्यक प्रमाणीकरण लागू करता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
PraisonAI Gateway एक सर्वर है जो अनुप्रयोगों और AI एजेंटों के बीच संचार को सुविधाजनक बनाता है।
संस्करण 4.5.97 CVE-2026-34952 भेद्यता को ठीक करता है, जो संवेदनशील जानकारी तक अनधिकृत पहुंच और मनमाना कोड निष्पादन की अनुमति देता है।
एक अस्थायी उपाय के रूप में, नेटवर्क एक्सेस को प्रतिबंधित करें, सर्वर लॉग की निगरानी करें और वेब एप्लिकेशन फ़ायरवॉल का उपयोग करने पर विचार करें।
एजेंटों और उनके टूलसेट के आधार पर, संवेदनशील डेटा, सिस्टम कॉन्फ़िगरेशन और क्रेडेंशियल समझौता किए जा सकते हैं।
/info एंडपॉइंट पर अनधिकृत कनेक्शन और असामान्य अनुरोधों के लिए सर्वर लॉग की निगरानी करने से शोषण का पता लगाने में मदद मिल सकती है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।