प्लेटफ़ॉर्म
python
घटक
praisonaiaagents
में ठीक किया गया
1.5.129
CVE-2026-40160 PraisonAIAgents में एक सर्वर-साइड रिक्वेस्ट फोर्जिंग (SSRF) भेद्यता है. इस भेद्यता के कारण, एक हमलावर वेब_क्रॉल फ़ंक्शन के माध्यम से आंतरिक सेवाओं तक पहुँच सकता है, जिससे संवेदनशील डेटा का खुलासा हो सकता है. यह भेद्यता PraisonAIAgents के संस्करण 1.5.0 से 1.5.128 तक मौजूद है और संस्करण 1.5.128 में ठीक की गई है.
यह SSRF भेद्यता PraisonAIAgents उपयोगकर्ताओं के लिए एक महत्वपूर्ण जोखिम प्रस्तुत करती है. एक हमलावर LLM एजेंट को एक आंतरिक URL को क्रॉल करने के लिए छल करके, क्लाउड मेटाडेटा एंडपॉइंट्स (169.254.169.254), आंतरिक सेवाओं और localhost तक पहुँच सकता है. प्राप्त प्रतिक्रिया सामग्री एजेंट को वापस कर दी जाती है और हमलावर को दिखाई दे सकती है. विशेष रूप से, नए PraisonAI इंस्टॉलेशन पर, जहां Tavily कुंजी या Crawl4AI स्थापित नहीं है, यह डिफ़ॉल्ट क्रॉल पथ है, जिससे भेद्यता का जोखिम बढ़ जाता है. इस भेद्यता का उपयोग आंतरिक नेटवर्क संसाधनों को उजागर करने, संवेदनशील डेटा को चुराने या यहां तक कि आंतरिक सेवाओं पर अनधिकृत कार्रवाई करने के लिए किया जा सकता है. यह Log4Shell जैसे SSRF शोषण पैटर्न के समान है, जहां एक हमलावर अप्रत्याशित नेटवर्क अनुरोधों को ट्रिगर करने के लिए एप्लिकेशन की कार्यक्षमता का दुरुपयोग करता है.
CVE-2026-40160 को अभी तक CISA KEV सूची में जोड़ा नहीं गया है. EPSS स्कोर की जानकारी उपलब्ध नहीं है. सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक नहीं देखा गया है, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है. यह भेद्यता 2026-04-10 को प्रकाशित हुई थी.
Organizations deploying PraisonAIAgents in environments with sensitive internal resources or cloud metadata endpoints are at significant risk. Specifically, deployments that rely on the default web_crawl configuration without a Tavily key or Crawl4AI are particularly vulnerable. Shared hosting environments where multiple users share the same PraisonAIAgents instance also face increased risk.
• python / supply-chain:
import subprocess
result = subprocess.run(['pip', 'show', 'praisonaiagents'], capture_output=True, text=True)
if 'Version' in result.stdout:
version = result.stdout.split('Version: ')[1].split('\n')[0]
if version.startswith('1.5.0') and not version.startswith('1.5.128'):
print('Vulnerability detected: PraisonAIAgents version is vulnerable to CVE-2026-40160')
else:
print('PraisonAIAgents not found or version could not be determined.')• generic web:
curl -I http://localhost/crawl | grep '169.254.169.254'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (17% शतमक)
CISA SSVC
CVE-2026-40160 को कम करने के लिए, PraisonAIAgents को तुरंत संस्करण 1.5.128 में अपडेट करना महत्वपूर्ण है. यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब_क्रॉल फ़ंक्शन में URL सत्यापन और होस्ट प्रतिबंध लागू करें. एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके बाहरी अनुरोधों को सीमित करना भी मदद कर सकता है. इसके अतिरिक्त, Tavily कुंजी या Crawl4AI स्थापित करने से डिफ़ॉल्ट क्रॉल पथ बदल जाएगा और भेद्यता को कम करेगा. अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, आंतरिक सेवाओं तक पहुँचने का प्रयास करके सत्यापित करें.
PraisonAIAgents को संस्करण 1.5.128 या बाद के संस्करण में अपडेट करें ताकि SSRF (SSRF) भेद्यता को कम किया जा सके। यह अपडेट होस्ट सत्यापन लागू करता है और उपयोगकर्ता द्वारा प्रदान किए गए URLs को httpx.AsyncClient.get() में सीधे पास होने से रोकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-40160 PraisonAIAgents में एक SSRF भेद्यता है जो हमलावरों को आंतरिक सेवाओं तक पहुँचने की अनुमति देती है।
यदि आप PraisonAIAgents के संस्करण 1.5.0 से 1.5.128 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
PraisonAIAgents को संस्करण 1.5.128 में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो URL सत्यापन लागू करें।
हालांकि अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है।
कृपया PraisonAIAgents की आधिकारिक वेबसाइट या सुरक्षा सलाहकार अनुभाग देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।