प्लेटफ़ॉर्म
python
घटक
praisonai
में ठीक किया गया
4.5.129
CVE-2026-40156 PraisonAI में एक गंभीर दूरस्थ कोड निष्पादन (RCE) भेद्यता है। PraisonAI, एक मल्टी-एजेंट टीम सिस्टम में, संस्करण 4.5.127 से पहले, वर्तमान कार्यशील निर्देशिका से स्वचालित रूप से 'tools.py' नामक एक फ़ाइल लोड की जाती है। यह फ़ाइल बिना किसी स्पष्ट उपयोगकर्ता सहमति, सत्यापन या सैंडबॉक्सिंग के तुरंत मॉड्यूल-स्तरीय कोड निष्पादित करती है। संस्करण 4.5.128 में यह भेद्यता ठीक कर दी गई है।
यह भेद्यता एक हमलावर को कार्यशील निर्देशिका में 'tools.py' नामक एक दुर्भावनापूर्ण फ़ाइल रखकर PraisonAI सिस्टम पर मनमाना कोड निष्पादित करने की अनुमति देती है। हमलावर सिस्टम पर पूर्ण नियंत्रण प्राप्त कर सकता है, संवेदनशील डेटा तक पहुंच सकता है, और अन्य सिस्टम पर पार्श्व आंदोलन कर सकता है। चूंकि फ़ाइल को कॉन्फ़िगरेशन फ़ाइलों में संदर्भ दिए बिना या उपयोगकर्ता द्वारा स्पष्ट रूप से अनुरोध किए बिना लोड किया जाता है, इसलिए यह भेद्यता शोषण के लिए एक आसान लक्ष्य है। इस भेद्यता का उपयोग सिस्टम को पूरी तरह से समझौता करने के लिए किया जा सकता है, जिससे डेटा हानि, सेवा व्यवधान और प्रतिष्ठा को नुकसान हो सकता है।
CVE-2026-40156 को अभी तक KEV में जोड़ा नहीं गया है। EPSS स्कोर की अनुपलब्धता के कारण जोखिम का आकलन करना मुश्किल है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण शोषण की संभावना अधिक है। यह भेद्यता 2026-04-10 को प्रकाशित हुई थी।
Organizations using PraisonAI for agent-based automation or AI development are at risk, particularly those with less stringent access controls to the system's working directory. Shared hosting environments or deployments where multiple users have write access to the working directory are especially vulnerable.
• linux / server: Monitor process execution for importlib.util and exec_module within the PraisonAI process using journalctl or auditd.
journalctl -u praisonai | grep -i 'importlib.util'• python: Check for the existence of a 'tools.py' file in the PraisonAI working directory.
import os
if os.path.exists('tools.py'):
print('Potential vulnerability: tools.py found')• generic web: Monitor access logs for requests that might indicate attempts to place or access 'tools.py' in the working directory.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (7% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, PraisonAI को तुरंत संस्करण 4.5.128 में अपडेट करना आवश्यक है। यदि तत्काल अपडेट संभव नहीं है, तो कार्यशील निर्देशिका में 'tools.py' फ़ाइल की उपस्थिति को रोकने के लिए एक अस्थायी उपाय के रूप में फ़ाइल सिस्टम अनुमतियों को सीमित किया जा सकता है। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग दुर्भावनापूर्ण कोड निष्पादन को रोकने के लिए किया जा सकता है। PraisonAI के कॉन्फ़िगरेशन की नियमित रूप से समीक्षा करना और अनावश्यक मॉड्यूल को अक्षम करना भी सुरक्षा को बेहतर बनाने में मदद कर सकता है। अपडेट के बाद, यह सुनिश्चित करने के लिए सिस्टम की जांच करें कि 'tools.py' फ़ाइल अब स्वचालित रूप से लोड नहीं हो रही है।
अविशिष्ट कोड के स्वचालित `tools.py` लोडिंग के माध्यम से निहित निष्पादन से बचने के लिए PraisonAI को संस्करण 4.5.128 या बाद के संस्करण में अपडेट करें। यदि स्पष्ट रूप से आवश्यक न हो तो कार्यशील निर्देशिका में tools.py फ़ाइल मौजूद नहीं होनी चाहिए।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-40156 PraisonAI में एक दूरस्थ कोड निष्पादन भेद्यता है जो हमलावरों को 'tools.py' फ़ाइल के माध्यम से मनमाना कोड निष्पादित करने की अनुमति देती है।
यदि आप PraisonAI के संस्करण 4.5.127 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
PraisonAI को तुरंत संस्करण 4.5.128 में अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो कार्यशील निर्देशिका में 'tools.py' फ़ाइल की उपस्थिति को रोकने के लिए फ़ाइल सिस्टम अनुमतियों को सीमित करें।
हालांकि अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन भेद्यता की प्रकृति के कारण शोषण की संभावना अधिक है।
कृपया PraisonAI की आधिकारिक वेबसाइट या सुरक्षा सलाहकार अनुभाग पर जाएँ।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।