Platform
nodejs
Component
praisonai
Opgelost in
4.5.114
CVE-2026-39308 beschrijft een Path Traversal kwetsbaarheid in PraisonAI Recipe Registry. Deze kwetsbaarheid stelt een aanvaller in staat om bestanden buiten de geconfigureerde registry root te schrijven, wat kan leiden tot ongeautoriseerde toegang en potentieel schadelijke acties. De kwetsbaarheid treft versies van PraisonAI Recipe Registry tussen 1.5.0 en 4.5.112 (exclusief). Een fix is beschikbaar in versie 1.5.113.
Deze Path Traversal kwetsbaarheid in PraisonAI Recipe Registry maakt het mogelijk voor een kwaadwillende gebruiker om bestanden op de registry host te schrijven, zelfs als de uiteindelijke aanvraag wordt afgewezen. Door het plaatsen van ../ traversal sequences in het manifestbestand van een recipe bundle, kan de aanvaller bestanden buiten de geconfigureerde registry root creëren. Dit kan leiden tot het overschrijven van kritieke systeembestanden, het uitvoeren van kwaadaardige code of het verkrijgen van ongeautoriseerde toegang tot gevoelige informatie. De impact is aanzienlijk, aangezien een succesvolle exploitatie de integriteit en vertrouwelijkheid van het systeem in gevaar kan brengen.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 2026-04-07. Er zijn momenteel geen publieke Proof-of-Concept exploits beschikbaar, maar de Path Traversal aard van de kwetsbaarheid maakt het potentieel voor exploitatie aannemelijk. De CVSS score van 7.1 (HIGH) duidt op een significant risico. Er is geen vermelding op de CISA KEV catalogus op het moment van schrijven.
Organizations utilizing PraisonAI Recipe Registry in production environments, particularly those with automated deployment pipelines or allowing external recipe bundle uploads, are at risk. Shared hosting environments where multiple users can upload recipe bundles are also particularly vulnerable.
• nodejs / server:
grep -r '../' /var/log/nginx/access.log• nodejs / server:
journalctl -u praisonai-registry -g 'manifest.json'• generic web:
curl -I http://your-praisonai-registry/api/v1/recipes/upload | grep 'Server:'disclosure
Exploit Status
EPSS
0.06% (20% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-39308 is het upgraden van PraisonAI Recipe Registry naar versie 1.5.113 of hoger. Indien een upgrade direct onmogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) of proxy om requests met traversal sequences te blokkeren. Controleer de configuratie van de registry root en zorg ervoor dat deze correct is ingesteld en beschermd. Monitor de logbestanden op verdachte activiteiten, zoals pogingen om bestanden buiten de registry root te schrijven. Na de upgrade, controleer de registry root directory om te bevestigen dat er geen ongeautoriseerde bestanden zijn aangemaakt.
Actualice PraisonAI a la versión 1.5.113 o posterior para mitigar la vulnerabilidad de recorrido de ruta. Asegúrese de que el acceso al registro de recetas esté protegido con un token para evitar el acceso no autorizado. Revise y configure adecuadamente los permisos de escritura en el directorio del registro para limitar el acceso a los archivos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-39308 is a Path Traversal vulnerability affecting PraisonAI Recipe Registry versions 1.5.0 through 4.5.113, allowing attackers to potentially write arbitrary files to the registry host.
You are affected if you are running PraisonAI Recipe Registry versions 1.5.0 through 4.5.113. Upgrade to version 1.5.113 or later to mitigate the risk.
Upgrade PraisonAI Recipe Registry to version 1.5.113 or later. As a temporary workaround, implement a WAF rule to block requests with directory traversal sequences in the manifest file name.
There are currently no confirmed reports of active exploitation of CVE-2026-39308.
Refer to the PraisonAI security advisory for detailed information and updates: [https://praisonai.com/security/advisories](https://praisonai.com/security/advisories)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.