प्लेटफ़ॉर्म
python
घटक
praisonaiagents
में ठीक किया गया
1.5.116
1.5.115
CVE-2026-39888 represents a critical Remote Code Execution (RCE) vulnerability discovered in praisonaiagents, specifically within the executecode() function of the pythontools module. This flaw allows attackers to bypass intended sandbox restrictions and execute arbitrary code on affected systems. The vulnerability impacts versions of praisonaiagents up to and including 1.5.99, and a fix is available in version 1.5.115.
praisonaiagents में CVE-2026-39888 कमजोरियां गलत तरीके से कॉन्फ़िगर किए गए सैंडबॉक्स मोड के कारण मनमाना कोड निष्पादन की अनुमति देती है। execute_code() फ़ंक्शन उपयोगकर्ता कोड को अलग करने के लिए एक प्रतिबंधित builtins शब्दकोश और एक AST-आधारित ब्लॉकलिस्ट के साथ एक सबप्रोसेस का उपयोग करता है। हालाँकि, सबप्रोसेस रैपर के भीतर AST ब्लॉकलिस्ट अधूरी है, जो सीधे निष्पादन पथ में अवरुद्ध किए गए विशेषताओं तक पहुंच की अनुमति देती है। यह एक हमलावर को प्रदान किए गए कोड में हेरफेर करके सैंडबॉक्स से बाहर निकलने और अंतर्निहित सिस्टम पर मनमाना कमांड निष्पादित करने की अनुमति देता है। CVSS स्कोर 9.9 एक गंभीर भेद्यता को इंगित करता है जिसमें शोषण की उच्च क्षमता और महत्वपूर्ण प्रभाव होता है।
यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि यह executecode() फ़ंक्शन के माध्यम से शोषण किया जाता है, जिसका उपयोग संभवतः उपयोगकर्ता द्वारा प्रदान किए गए कोड को निष्पादित करने के लिए किया जाता है। एक हमलावर उपयोगकर्ता इनपुट में दुर्भावनापूर्ण कोड इंजेक्ट कर सकता है, जिसे सैंडबॉक्स विफलता के कारण उन्नत विशेषाधिकारों के साथ निष्पादित किया जाएगा। getframe, fback, और flocals जैसी विशेषताओं को शामिल करने वाली फ्रेम ट्रैवर्सल एस्केप श्रृंखला हमलावर को संवेदनशील जानकारी तक पहुंचने और मुख्य प्रक्रिया के संदर्भ में कोड निष्पादित करने की अनुमति देती है। सबप्रोसेस में अधूरी AST ब्लॉकलिस्ट इस शोषण को संभव बनाती है।
Organizations deploying praisonaiagents in environments where user-provided code is executed, particularly those relying on the execute_code() function for automation or integration, are at significant risk. Systems with older, unpatched versions of praisonaiagents are especially vulnerable. Shared hosting environments where multiple users have access to the system are also at heightened risk.
• python / supply-chain:
import os
import subprocess
# Check for praisonaiagents version
result = subprocess.run(['praisonaiagents', '--version'], capture_output=True, text=True)
version = result.stdout.strip()
if version.startswith('1.5.'):
print("Potential CVE-2026-39888 vulnerability detected. Upgrade praisonaiagents.")• linux / server:
# Check for praisonaiagents process and version
ps aux | grep praisonaiagents | grep -i 'python_tools.py'
# Review logs for suspicious activity related to execute_code()
journalctl -u praisonaiagents | grep -i 'execute_code'disclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.09% (26% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-39888 के लिए प्राथमिक शमन praisonaiagents को संस्करण 1.5.115 या उच्चतर में अपडेट करना है। यह संस्करण AST ब्लॉकलिस्ट को ठीक करता है, यह सुनिश्चित करता है कि सभी खतरनाक विशेषताएँ प्रत्यक्ष निष्पादन और सैंडबॉक्स मोड दोनों में अवरुद्ध हैं। इसके अतिरिक्त, संभावित हमले के वेक्टरों की पहचान करने के लिए praisonaiagents का उपयोग करने वाले किसी भी कोड की समीक्षा और ऑडिट करने की सिफारिश की जाती है। सख्त एक्सेस नियंत्रण लागू करना और सिस्टम गतिविधि की निगरानी भी जोखिम को कम करने में मदद कर सकती है। इस महत्वपूर्ण भेद्यता के शोषण को रोकने के लिए अपडेट जल्द से जल्द किया जाना चाहिए।
Actualice a la versión 1.5.115 o superior para mitigar la vulnerabilidad. Esta versión corrige el problema al incluir los atributos de frame-traversal necesarios en la lista de atributos bloqueados del subprocess, previniendo la exposición de los builtins del intérprete Python.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
सैंडबॉक्स एक अलग वातावरण है जो प्रोग्राम की सिस्टम संसाधनों तक पहुंच को सीमित करता है। इसका उपयोग सुरक्षित रूप से अविश्वसनीय कोड निष्पादित करने के लिए किया जाता है।
संस्करण 1.5.115 AST ब्लॉकलिस्ट को पूरा करके CVE-2026-39888 को ठीक करता है, जिससे मनमाना कोड निष्पादन को रोका जा सकता है।
अगर आप तुरंत अपडेट नहीं कर सकते हैं, तो संभावित हमलों का पता लगाने के लिए सख्त एक्सेस नियंत्रण लागू करने और सिस्टम गतिविधि की निगरानी करने पर विचार करें।
आप जिस praisonaiagents संस्करण का उपयोग कर रहे हैं, उसे जांचें। यदि यह 1.5.115 से पुराना है, तो आप कमजोर हैं।
वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है, लेकिन कोड ऑडिटिंग और सिस्टम गतिविधि की निगरानी की सिफारिश की जाती है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।