Platform
nodejs
Component
httpx
Opgelost in
4.5.129
CVE-2026-40114 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in PraisonAI, een multi-agent teamsysteem. Deze kwetsbaarheid stelt een aanvaller in staat om POST-verzoeken naar willekeurige interne of externe bestemmingen te sturen, wat kan leiden tot misbruik van cloud metadata en interne API's. De kwetsbaarheid treft versies van PraisonAI vóór 4.5.128. Een fix is beschikbaar in versie 4.5.128.
De SSRF-kwetsbaarheid in PraisonAI stelt een aanvaller in staat om POST-verzoeken te initiëren van de server naar willekeurige locaties. Dit kan worden misbruikt om toegang te krijgen tot gevoelige informatie die achter firewalls verborgen is, zoals cloud metadata services (bijvoorbeeld AWS Instance Metadata Service) en interne API's. Een aanvaller kan potentieel interne services blootleggen, authenticatie-informatie stelen of zelfs code uitvoeren als de server de POST-verzoeken verwerkt. De impact is vergelijkbaar met scenario's waarbij een aanvaller de server kan misbruiken om interne netwerkscans uit te voeren of om toegang te krijgen tot gevoelige gegevens die anders niet toegankelijk zouden zijn.
Deze kwetsbaarheid werd publiek bekendgemaakt op 2026-04-09. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de SSRF-natuur van de kwetsbaarheid maakt het potentieel voor misbruik aannemelijk. De KEV-status is momenteel onbekend. De kwetsbaarheid is afhankelijk van de configuratie van de PraisonAI server en de interne netwerkarchitectuur.
Organizations utilizing PraisonAI in cloud environments, particularly those relying on cloud metadata services for configuration or authentication, are at heightened risk. Shared hosting environments where multiple users share the same PraisonAI instance are also vulnerable, as an attacker could potentially exploit the vulnerability through another user's actions.
• nodejs / server:
grep -r 'httpx.AsyncClient' /path/to/praisonaiproject/• generic web:
curl -I http://your-praisonaia-server/api/v1/runs | grep -i 'webhook_url'• generic web: Review access/error logs for unusual POST requests to internal IP addresses or cloud metadata endpoints.
disclosure
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-40114 is het upgraden naar PraisonAI versie 4.5.128 of hoger. Deze versie bevat een validatie van de webhookurl, waardoor de SSRF-kwetsbaarheid wordt verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround het implementeren van een Web Application Firewall (WAF) zijn die POST-verzoeken naar onbekende of verdachte URL's blokkeert. Controleer ook de configuratie van de PraisonAI server om ervoor te zorgen dat er geen onnodige toegang tot interne netwerkbronnen is. Na de upgrade, bevestig de fix door een POST-verzoek te sturen met een ongeldige webhookurl en controleer of dit wordt afgewezen.
Werk de httpx bibliotheek bij naar versie 4.5.128 of hoger om de SSRF kwetsbaarheid te mitigeren. Dit houdt in dat de URLs die worden verstrekt in de webhook_url parameter moeten worden gevalideerd voordat HTTP requests worden uitgevoerd.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-40114 is a Server-Side Request Forgery vulnerability in PraisonAI versions before 4.5.128, allowing attackers to make arbitrary HTTP POST requests.
You are affected if you are running PraisonAI versions prior to 4.5.128. Upgrade to the latest version to mitigate the risk.
Upgrade PraisonAI to version 4.5.128 or later. Consider WAF rules or network restrictions as temporary workarounds.
While no active exploitation has been publicly confirmed, the vulnerability's ease of exploitation suggests a potential risk.
Refer to the PraisonAI project's official website or security advisory page for the latest information and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.