प्लेटफ़ॉर्म
nodejs
घटक
httpx
में ठीक किया गया
4.5.129
CVE-2026-40114 PraisonAI में एक सर्वर-साइड रिक्वेस्ट फोरेजरी (SSRF) भेद्यता है। यह भेद्यता हमलावरों को PraisonAI सर्वर को मनमाने HTTP POST अनुरोध भेजने की अनुमति देती है, जिससे आंतरिक सेवाओं तक अनधिकृत पहुंच हो सकती है। यह भेद्यता PraisonAI के संस्करण 4.5.128 से पहले मौजूद थी और संस्करण 4.5.128 में ठीक की गई है।
यह भेद्यता हमलावरों के लिए आंतरिक नेटवर्क संसाधनों तक पहुंच प्राप्त करने का एक महत्वपूर्ण जोखिम प्रस्तुत करती है। एक हमलावर क्लाउड मेटाडेटा सेवाओं, आंतरिक एपीआई और अन्य नेटवर्क-संबंधित सेवाओं के खिलाफ SSRF हमलों को अंजाम देने के लिए webhook_url का उपयोग कर सकता है। उदाहरण के लिए, हमलावर क्लाउड इंस्टेंस से संवेदनशील जानकारी (जैसे API कुंजियाँ, क्रेडेंशियल) निकालने के लिए मेटाडेटा एंडपॉइंट तक पहुंचने के लिए SSRF का उपयोग कर सकता है। इसके अतिरिक्त, हमलावर आंतरिक सेवाओं को ओवरलोड करने या संवेदनशील डेटा को उजागर करने के लिए आंतरिक एपीआई को दुर्भावनापूर्ण अनुरोध भेज सकता है। इस भेद्यता का उपयोग आंतरिक नेटवर्क में आगे बढ़ने और अधिक संसाधनों को समझौता करने के लिए किया जा सकता है।
CVE-2026-40114 को अभी तक CISA KEV सूची में शामिल नहीं किया गया है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन SSRF भेद्यताओं की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है। NVD और CISA द्वारा प्रकाशन की तारीख 2026-04-09 है, जो इंगित करता है कि भेद्यता हाल ही में सार्वजनिक की गई है।
Organizations utilizing PraisonAI in cloud environments, particularly those relying on cloud metadata services for configuration or authentication, are at heightened risk. Shared hosting environments where multiple users share the same PraisonAI instance are also vulnerable, as an attacker could potentially exploit the vulnerability through another user's actions.
• nodejs / server:
grep -r 'httpx.AsyncClient' /path/to/praisonaiproject/• generic web:
curl -I http://your-praisonaia-server/api/v1/runs | grep -i 'webhook_url'• generic web: Review access/error logs for unusual POST requests to internal IP addresses or cloud metadata endpoints.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (10% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-40114 के लिए प्राथमिक शमन उपाय PraisonAI को संस्करण 4.5.128 या बाद के संस्करण में अपडेट करना है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके /api/v1/runs एंडपॉइंट पर आने वाले अनुरोधों में webhookurl को मान्य और सैनिटाइज़ किया जा सकता है। यह सुनिश्चित करना महत्वपूर्ण है कि केवल विश्वसनीय डोमेन को अनुरोध भेजने की अनुमति है। इसके अतिरिक्त, आंतरिक सेवाओं तक पहुंच को सीमित करने के लिए नेटवर्क सेगमेंटेशन और एक्सेस नियंत्रण नीतियों को लागू किया जाना चाहिए। PraisonAI के कॉन्फ़िगरेशन की समीक्षा करें ताकि यह सुनिश्चित हो सके कि अनावश्यक नेटवर्क एक्सेस प्रतिबंधित हैं। अपग्रेड के बाद, यह सत्यापित करने के लिए कि भेद्यता को सफलतापूर्वक ठीक किया गया है, webhookurl के साथ एक दुर्भावनापूर्ण अनुरोध भेजकर परीक्षण करें।
SSRF भेद्यता को कम करने के लिए httpx लाइब्रेरी को संस्करण 4.5.128 या उच्चतर में अपडेट करें। इसमें HTTP अनुरोध करने से पहले webhook_url पैरामीटर में दिए गए URL को मान्य करना शामिल है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-40114 PraisonAI में एक SSRF भेद्यता है जो हमलावरों को मनमाने HTTP POST अनुरोध भेजने की अनुमति देती है, जिससे आंतरिक सेवाओं तक अनधिकृत पहुंच हो सकती है।
यदि आप PraisonAI के संस्करण 4.5.128 से पहले चल रहे हैं, तो आप प्रभावित हैं।
CVE-2026-40114 को ठीक करने के लिए PraisonAI को संस्करण 4.5.128 या बाद के संस्करण में अपडेट करें।
CVE-2026-40114 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन SSRF भेद्यताओं की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है।
कृपया PraisonAI की आधिकारिक वेबसाइट या सुरक्षा सलाहकार अनुभाग देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।