Plataforma
python
Componente
praisonai
Corrigido em
4.5.114
4.5.113
A vulnerabilidade CVE-2026-39306 é um Path Traversal identificado no PraisonAI, afetando versões até 4.5.98. Um atacante pode explorar essa falha ao enviar um pacote de receitas malicioso contendo sequências de ../, permitindo a escrita de arquivos fora do diretório de saída selecionado. A correção está disponível na versão 4.5.113.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante escreva arquivos arbitrariamente no sistema do usuário que está baixando a receita. Isso pode levar à execução remota de código, roubo de dados confidenciais ou modificação de arquivos do sistema, dependendo das permissões do usuário. A falta de validação de caminhos durante a extração de arquivos tar torna o PraisonAI suscetível a ataques de Path Traversal, similar a vulnerabilidades encontradas em outros sistemas que manipulam arquivos sem validação adequada. O impacto é significativo, pois afeta tanto o download local quanto via HTTP.
O CVE-2026-39306 foi publicado em 2026-04-06. Não há informações disponíveis sobre a inclusão em KEV ou EPSS. Não há public proof-of-concept (PoC) amplamente divulgado no momento, mas a natureza da vulnerabilidade (Path Traversal) a torna relativamente fácil de explorar, aumentando a probabilidade de exploração futura.
Organizations utilizing PraisonAI for recipe management, particularly those relying on user-uploaded recipes, are at risk. Shared hosting environments where multiple users can upload recipes pose a heightened risk, as a malicious recipe could impact other users on the same server. Users with legacy PraisonAI configurations or those who haven't implemented robust input validation practices are also more vulnerable.
• python / server:
import os
import tarfile
def check_tar_archive(archive_path):
try:
with tarfile.open(archive_path, 'r') as tar:
for member in tar.getmembers():
if '..' in member.name:
print(f"Potential path traversal detected in: {member.name}")
return True
return False
except Exception as e:
print(f"Error processing archive: {e}")
return False
# Example usage
archive_path = '/path/to/your/archive.praison'
if check_tar_archive(archive_path):
print("Malicious archive detected!")
else:
print("Archive appears safe.")• generic web: Check for unusual file modifications in the recipe pull output directory. Monitor user activity for suspicious file creation or modification patterns.
disclosure
Status do Exploit
EPSS
0.04% (percentil 13%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o PraisonAI para a versão 4.5.113, que inclui a correção para esta vulnerabilidade. Se a atualização imediata não for possível, implemente validação rigorosa dos caminhos dos arquivos tar antes da extração. Isso pode ser feito verificando se os caminhos começam com o diretório de destino esperado e não contêm sequências de ../. Considere o uso de uma WAF (Web Application Firewall) para bloquear solicitações que contenham padrões de Path Traversal. Monitore os logs do sistema em busca de tentativas de acesso a arquivos fora do diretório esperado.
Actualice a la versión 1.5.113 o posterior para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización valida las rutas de los miembros del archivo antes de la extracción, previniendo la escritura de archivos fuera del directorio de salida especificado.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-39306 is a Path Traversal vulnerability in PraisonAI versions up to 4.5.98, allowing attackers to write arbitrary files during recipe pulls.
You are affected if you are using PraisonAI versions 4.5.98 or earlier. Upgrade to 4.5.113 to mitigate the vulnerability.
Upgrade PraisonAI to version 4.5.113 or later. As a temporary workaround, restrict recipe pull directories and implement server-side input validation.
There are currently no confirmed reports of active exploitation, but the vulnerability's severity warrants immediate attention and remediation.
Refer to the PraisonAI security advisories on their official website or GitHub repository for the latest information and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.