プラットフォーム
python
コンポーネント
praisonai
修正版
4.5.114
4.5.113
CVE-2026-39306は、praisonaiのレシピ登録フローにおけるパストラバーサル脆弱性です。この脆弱性は、攻撃者が制御する.praison tarアーカイブの展開時に、ファイルパスの検証が不十分なために発生します。レシピをプルするユーザーは、意図しない場所にファイルを書き込むことができ、潜在的に機密情報の漏洩やシステムの改ざんにつながる可能性があります。影響を受けるバージョンはpraisonai 4.5.98以下ですが、バージョン4.5.113で修正されています。
この脆弱性を悪用されると、攻撃者はレシピバンドルに../のようなパストラバーサルエントリを含む悪意のあるtarアーカイブをアップロードできます。レシピをプルするユーザーは、指定された出力ディレクトリ外にファイルを書き込むことになります。これにより、機密ファイルの上書き、重要な設定ファイルの改ざん、またはシステムへの悪意のあるコードの挿入が可能になります。攻撃者は、この脆弱性を利用して、praisonaiの環境内で任意のコードを実行し、機密情報を盗み出し、システムを完全に制御する可能性があります。この脆弱性は、ローカルおよびHTTPの両方のレシピ登録プルフローに影響を与えるため、攻撃の対象となる範囲が広いです。
この脆弱性は、2026年4月6日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、パストラバーサル脆弱性であるため、悪用される可能性は高いと考えられます。CISA KEVリストへの登録状況は不明です。この脆弱性は、tarアーカイブの展開時のファイルパス検証の欠如に起因しており、同様の脆弱性(例えば、Log4Shell)と同様の攻撃パターンが適用される可能性があります。
Organizations utilizing PraisonAI for recipe management, particularly those relying on user-uploaded recipes, are at risk. Shared hosting environments where multiple users can upload recipes pose a heightened risk, as a malicious recipe could impact other users on the same server. Users with legacy PraisonAI configurations or those who haven't implemented robust input validation practices are also more vulnerable.
• python / server:
import os
import tarfile
def check_tar_archive(archive_path):
try:
with tarfile.open(archive_path, 'r') as tar:
for member in tar.getmembers():
if '..' in member.name:
print(f"Potential path traversal detected in: {member.name}")
return True
return False
except Exception as e:
print(f"Error processing archive: {e}")
return False
# Example usage
archive_path = '/path/to/your/archive.praison'
if check_tar_archive(archive_path):
print("Malicious archive detected!")
else:
print("Archive appears safe.")• generic web: Check for unusual file modifications in the recipe pull output directory. Monitor user activity for suspicious file creation or modification patterns.
disclosure
エクスプロイト状況
EPSS
0.04% (13% パーセンタイル)
CISA SSVC
praisonaiのバージョンを4.5.113以降にアップグレードすることが、この脆弱性に対する最も効果的な対策です。アップグレードが一時的に利用できない場合は、レシピのプル時に、信頼できるソースからのレシピのみを使用するように制限してください。また、レシピの展開先ディレクトリのアクセス権を厳格に制限し、書き込み可能なディレクトリを最小限に抑えることで、攻撃の影響を軽減できます。WAFやプロキシサーバーを使用している場合は、tarアーカイブの展開時にパストラバーサル攻撃を検出するためのルールを実装することを検討してください。アップグレード後、展開先ディレクトリの権限を確認し、意図しないファイルが存在しないことを確認してください。
Actualice a la versión 1.5.113 o posterior para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización valida las rutas de los miembros del archivo antes de la extracción, previniendo la escritura de archivos fuera del directorio de salida especificado.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-39306は、praisonaiのレシピ登録フローにおけるパストラバーサル脆弱性です。攻撃者は、悪意のあるレシピバンドルをアップロードすることで、出力ディレクトリ外にファイルを書き込むことができます。
praisonaiのバージョンが4.5.98以下の場合、この脆弱性の影響を受けます。バージョン4.5.113にアップグレードすることで、脆弱性を修正できます。
praisonaiをバージョン4.5.113以降にアップグレードしてください。アップグレードができない場合は、信頼できるソースからのレシピのみを使用し、展開先ディレクトリのアクセス権を厳格に制限してください。
現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、パストラバーサル脆弱性であるため、悪用される可能性は高いと考えられます。
praisonaiの公式アドバイザリは、praisonaiのウェブサイトまたはGitHubリポジトリで確認できます。
CVSS ベクトル
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。