Platform
python
Component
praisonai
Opgelost in
4.5.91
4.5.90
CVE-2026-34934 is een SQL injectie kwetsbaarheid in PraisonAI. De getalluserthreads functie construeert SQL queries met ongefilterde thread IDs. Een aanvaller kan een kwaadaardige thread ID opslaan via updatethread, wat leidt tot volledige database toegang. De impact is kritiek, omdat een aanvaller volledige controle over de database kan krijgen. De kwetsbaarheid treft versies lager dan 4.5.90. Deze is verholpen in versie 4.5.90.
De CVE-2026-34934 kwetsbaarheid in PraisonAI stelt een aanvaller in staat volledige toegang tot de database te krijgen. Dit komt door een fout in de functie getalluserthreads, die SQL-query's bouwt zonder de thread-ID's correct te valideren. Een aanvaller kan kwaadaardige code injecteren in een thread-ID via de functie updatethread. Wanneer de applicatie de thread-lijst laadt, wordt deze geïnjecteerde payload uitgevoerd, waardoor de aanvaller willekeurige commando's op de database kan uitvoeren. De ernst van deze kwetsbaarheid is hoog (CVSS 9.8) vanwege het potentieel om de integriteit en vertrouwelijkheid van gegevens te compromitteren.
Een aanvaller zou deze kwetsbaarheid kunnen exploiteren door een kwaadaardige thread-ID in de database op te slaan met behulp van de functie update_thread. Deze kwaadaardige thread-ID zou geïnjecteerde SQL-code bevatten. Wanneer de applicatie probeert de gebruikers-thread-lijst op te halen, zal de resulterende SQL-query worden uitgevoerd met de geïnjecteerde code, waardoor de aanvaller toegang krijgt tot de database en mogelijk willekeurige commando's kan uitvoeren.
Organizations deploying praisonai, particularly those using older versions (≤4.5.9) and those with sensitive data stored in the database, are at significant risk. Shared hosting environments where multiple users share the same database instance are also particularly vulnerable, as an attacker could potentially compromise the entire environment through a single praisonai instance.
• python / server:
grep -r "await data_layer.update_thread(thread_id=" .*/sql_alchemy.py• python / server:
journalctl -u praisonai -f | grep "SQL error"• generic web:
curl -I http://your-praisonai-instance/threads?thread_id='; DROP TABLE users;--disclosure
Exploit Status
EPSS
0.06% (20% percentiel)
CISA SSVC
CVSS-vector
Om deze kwetsbaarheid te mitigeren, wordt aanbevolen PraisonAI te updaten naar versie 4.5.90 of hoger. Deze versie bevat een correctie die thread-ID's valideert voordat ze in SQL-query's worden gebruikt. Daarnaast dient de broncode te worden bekeken om eventuele andere instanties van het bouwen van SQL-query's met f-strings zonder correcte validatie te identificeren en te corrigeren. Het implementeren van het principe van minimale privileges voor database-accounts kan ook helpen om de impact van een mogelijke exploitatie te beperken.
Actualice PraisonAI a la versión 4.5.90 o superior para mitigar la vulnerabilidad de inyección SQL de segundo orden. Asegúrese de que las consultas SQL no construyan consultas SQL dinámicas con datos no escapados de la base de datos. Valide y escape adecuadamente todas las entradas del usuario antes de usarlas en consultas SQL.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SQL-injectie is een aanvalstechniek waarmee een aanvaller kwaadaardige SQL-code in een SQL-query kan injecteren, waardoor ze toegang kunnen krijgen tot gevoelige gegevens, gegevens kunnen wijzigen of zelfs commando's op de server kunnen uitvoeren.
Als u een versie van PraisonAI gebruikt die ouder is dan 4.5.90, is de kans groot dat u getroffen bent door deze kwetsbaarheid. Controleer uw geïnstalleerde versie en update zo snel mogelijk.
Als u vermoedt dat uw database is gecompromitteerd, moet u onmiddellijk uw beveiligingsteam informeren en stappen ondernemen om de schade te beperken, zoals wachtwoorden wijzigen en auditlogs bekijken.
Er zijn verschillende tools die u kunnen helpen bij het detecteren van SQL-injectie, waaronder zowel tools voor statische codeanalyse als penetratietesttools.
Naast het updaten van PraisonAI, kunt u andere beveiligingsmaatregelen nemen, zoals het implementeren van het principe van minimale privileges, het gebruik van geparametriseerde query's en het valideren van alle gebruikersinvoer.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.