प्लेटफ़ॉर्म
python
घटक
praisonai
में ठीक किया गया
4.5.98
4.5.97
CVE-2026-34953 PraisionAI मल्टी-एजेंट टीम सिस्टम में एक गंभीर प्रमाणीकरण बाईपास भेद्यता है। इस भेद्यता के कारण, कोई भी व्यक्ति मनमाने Bearer टोकन का उपयोग करके MCP सर्वर तक पूर्ण पहुंच प्राप्त कर सकता है, जिससे सिस्टम की सुरक्षा से समझौता हो सकता है। यह भेद्यता PraisionAI के संस्करण 4.5.97 से पहले के संस्करणों को प्रभावित करती है और संस्करण 4.5.97 में ठीक कर दी गई है।
PraisonAI में CVE-2026-34953 हमलावरों को MCP सर्वर पर पंजीकृत एजेंटों के सभी उपकरणों और क्षमताओं तक अनधिकृत पहुंच प्राप्त करने की अनुमति देता है। यह OAuthManager.validate_token() फ़ंक्शन में एक दोष के कारण है, जो आंतरिक स्टोर में नहीं पाए गए किसी भी टोकन के लिए गलत तरीके से True लौटाता है, जो डिफ़ॉल्ट रूप से खाली है। एक हमलावर बस एक मनमाना बेयरर टोकन के साथ एक HTTP अनुरोध भेज सकता है, और सर्वर इसे एक वैध प्रमाणीकरण के रूप में मानेगा, जिससे पूर्ण पहुंच प्रदान की जाएगी। CVSS गंभीरता 9.1 है, जो एक गंभीर जोखिम का संकेत देता है। उचित टोकन सत्यापन की कमी महत्वपूर्ण विशेषाधिकार वृद्धि और संवेदनशील डेटा की चोरी या हेरफेर की क्षमता को सक्षम बनाती है।
एक हमलावर इस भेद्यता का फायदा उठाकर MCP सर्वर को एक यादृच्छिक बेयरर टोकन के साथ एक HTTP अनुरोध भेज सकता है। चूंकि टोकन सत्यापन गलत है, इसलिए सर्वर अनुरोध को वैध मानेगा और हमलावर को पंजीकृत एजेंटों के सभी उपकरणों और क्षमताओं तक पूर्ण पहुंच प्रदान करेगा। यह हमलावर को गोपनीय डेटा चुराने, सिस्टम कॉन्फ़िगरेशन को संशोधित करने या सर्वर पर पूर्ण नियंत्रण लेने की अनुमति दे सकता है। शोषण में आसानी, संभावित प्रभाव के साथ मिलकर, इस भेद्यता को एक महत्वपूर्ण जोखिम बनाती है।
Organizations deploying praisonai in environments with limited network segmentation or without robust access controls are particularly at risk. Shared hosting environments or deployments where agent capabilities are exposed to untrusted networks are also vulnerable. Any system relying on praisonai for authentication and authorization is potentially exposed.
• python / server:
import requests
# Attempt to authenticate with an arbitrary token
url = "YOUR_MCP_SERVER_URL/api/endpoint"
headers = {"Authorization": "Bearer arbitrary_token"}
response = requests.get(url, headers=headers)
if response.status_code == 200:
print("Authentication bypassed! Vulnerability likely present.")
else:
print("Authentication successful. Vulnerability likely patched.")• linux / server:
# Check access logs for requests with unusual or frequently changing Bearer tokens
grep "Bearer " /var/log/nginx/access.log | lessdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (12% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-34953 के लिए समाधान PraisonAI को संस्करण 4.5.97 या उच्चतर में अपडेट करना है। यह संस्करण OAuthManager.validate_token() फ़ंक्शन में दोष को ठीक करता है उचित टोकन सत्यापन को लागू करके। इस बीच, एक अस्थायी उपाय के रूप में, MCP सर्वर तक पहुंच को विश्वसनीय स्रोतों तक सीमित करने और सर्वर लॉग में संदिग्ध गतिविधि की निगरानी करने की अनुशंसा की जाती है। अनधिकृत पहुंच के जोखिम को कम करने के लिए जितनी जल्दी हो सके अपडेट लागू करना महत्वपूर्ण है। इसके अतिरिक्त, OAuth सुरक्षा कॉन्फ़िगरेशन की समीक्षा करें और सुनिश्चित करें कि टोकन सुरक्षित रूप से प्रबंधित किए जाते हैं।
Actualice PraisonAI a la versión 4.5.97 o posterior para corregir la vulnerabilidad de bypass de autenticación. Esta actualización aborda el problema donde cualquier token no encontrado en el almacén interno era tratado como válido, permitiendo el acceso no autorizado al servidor MCP.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
PraisonAI एक आर्टिफिशियल इंटेलिजेंस प्लेटफॉर्म है जो एजेंटों के लिए विभिन्न उपकरणों और क्षमताओं की पेशकश करता है।
CVSS 9.1 एक गंभीर गंभीरता भेद्यता का संकेत देता है, जिसका अर्थ है कि इसमें नुकसान पहुंचाने की उच्च क्षमता है।
जांचें कि आप PraisonAI का कौन सा संस्करण उपयोग कर रहे हैं। यदि यह 4.5.97 से पहले का है, तो आप इस भेद्यता से प्रभावित हैं।
एक अस्थायी उपाय के रूप में, MCP सर्वर तक पहुंच को सीमित करें और संदिग्ध गतिविधि के लिए लॉग की निगरानी करें।
वर्तमान में, एकमात्र समाधान संस्करण 4.5.97 या उच्चतर में अपडेट करना है। पिछले संस्करणों के लिए कोई पैच उपलब्ध नहीं है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।