PraisonAI एजेंट परिभाषा लोड करने में YAML डीसीरियलाइज़ेशन के माध्यम से रिमोट कोड एग्जीक्यूशन (Remote Code Execution) के लिए असुरक्षित

CVE-2026-39890 भेद्यता का शोषण करने वाला हमलावर praisonai सर्वर पर मनमाना कोड निष्पादित कर सकता है। यह हमलावर को सिस्टम पर पूर्ण नियंत्रण प्राप्त करने, संवेदनशील डेटा चोरी करने या सिस्टम को नुकसान पहुंचाने की अनुमति दे सकता है। इस भेद्यता का उपयोग सर्वर से डेटा निकालने, सिस्टम को दूषित करने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए किया जा सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह दूरस्थ रूप से शोषण योग्य है, जिसका अर्थ है कि हमलावर को सिस्टम तक भौतिक पहुंच की आवश्यकता नहीं है। js-yaml लाइब्रेरी में असुरक्षित YAML पार्सिंग के कारण, एक दुर्भावनापूर्ण YAML फ़ाइल अपलोड करने से हमलावर को मनमाना जावास्क्रिप्ट कोड निष्पादित करने की अनुमति मिलती है।

Organizations utilizing praisonai for AI agent management, particularly those relying on the API for agent deployment and configuration, are at risk. This includes teams automating agent provisioning and those using shared hosting environments where agent definition files might be accessible to other users. Legacy configurations that haven't been updated to the latest security standards are also particularly vulnerable.

• python / server:

import os
import yaml

def check_yaml_vulnerability(file_path):
    try:
        with open(file_path, 'r') as f:
            yaml.safe_load(f, Loader=yaml.FullLoader) # Use safe_load
        return False  # Safe
    except yaml.YAMLError as e:
        print(f"Error loading YAML: {e}")
        return True # Potentially unsafe

# Example usage
file_to_check = '/path/to/agent_definition.yaml'
if check_yaml_vulnerability(file_to_check):
    print(f"Potential vulnerability detected in {file_to_check}")
else:
    print(f"YAML file {file_to_check} appears safe.")

• generic web:

curl -I 'http://your-praisonai-server/api/agent/upload' -H 'Content-Type: application/yaml' -d '!!js/function alert("XSS")' | grep -i 'content-type: application/yaml'

1. 2026-04-08Disclosure

   disclosure

2. 2026-04-08Patch

   patch

1. आरक्षित2026-04-07
2. प्रकाशित2026-04-08
3. संशोधित2026-04-09
4. EPSS अद्यतन2026-04-16

CVE-2026-39890 भेद्यता को कम करने के लिए, praisonai को संस्करण 4.5.115 में तुरंत अपडेट करने की सिफारिश की जाती है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके praisonai API एंडपॉइंट पर YAML फ़ाइल अपलोड को ब्लॉक कर सकते हैं। इसके अतिरिक्त, आप YAML पार्सिंग को सुरक्षित करने के लिए js-yaml लाइब्रेरी के सुरक्षित कॉन्फ़िगरेशन का उपयोग कर सकते हैं। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, praisonai सर्वर पर किसी भी असामान्य गतिविधि की निगरानी करें और सुनिश्चित करें कि सभी सिस्टम लॉग की नियमित रूप से समीक्षा की जाती है।