Plataforma
python
Componente
praisonaiai
Corrigido em
4.5.114
Uma vulnerabilidade de Arbitrary File Access foi descoberta no PraisonAI, um sistema de equipes multi-agentes. A falha, identificada como CVE-2026-39307, reside na funcionalidade de instalação de templates e permite a escrita arbitrária de arquivos. Versões afetadas incluem as 1.5.113 até a 4.5.113. A correção foi implementada na versão 1.5.113.
A vulnerabilidade de Zip Slip permite que um atacante, ao fornecer um arquivo ZIP malicioso, escreva arquivos em locais arbitrários no sistema de arquivos do PraisonAI. Isso pode levar à execução remota de código, comprometimento da confidencialidade de dados sensíveis, ou até mesmo à tomada de controle total do sistema. Um atacante poderia, por exemplo, sobrescrever arquivos de configuração críticos ou injetar código malicioso para persistir no sistema. A exploração bem-sucedida desta vulnerabilidade pode ter um impacto significativo na integridade e disponibilidade do sistema PraisonAI.
A vulnerabilidade CVE-2026-39307 foi divulgada em 2026-04-07. Não há informações disponíveis sobre sua inclusão no KEV (CISA Known Exploited Vulnerabilities) ou sobre a existência de exploits públicos. A probabilidade de exploração é considerada baixa a média, dependendo da exposição do sistema PraisonAI e da conscientização dos usuários sobre os riscos associados a arquivos ZIP maliciosos.
Organizations using PraisonAI for collaborative AI development and deployment are at risk, particularly those who allow users to import templates from external sources like GitHub. Shared hosting environments where multiple users share the same PraisonAI installation are also at increased risk, as a compromised template from one user could potentially affect other users.
• python: Monitor PraisonAI logs for suspicious file extraction activity, particularly attempts to write files outside the designated template directory. Look for patterns involving zipfile.extractall() and unusual file paths.
# Example: Monitor for file extraction attempts
import os
import logging
logging.basicConfig(filename='praisona.log', level=logging.INFO)
for root, _, files in os.walk('/path/to/praisona/templates'): # Replace with actual path
for file in files:
logging.info(f'File accessed: {os.path.join(root, file)}')• generic web: Monitor web server access logs for requests to download template archives from external sources. Analyze the downloaded archives for suspicious filenames or directory traversal sequences. • generic web: Check PraisonAI's configuration files for any settings related to template download locations or extraction directories. Ensure these settings are properly secured and restricted.
disclosure
Status do Exploit
EPSS
0.05% (percentil 14%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-39307 é a atualização imediata para a versão 1.5.113 ou superior do PraisonAI. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso à funcionalidade de instalação de templates e validar rigorosamente a origem dos arquivos ZIP. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear uploads de arquivos ZIP maliciosos também pode ajudar a mitigar o risco. Após a atualização, confirme a correção verificando se a funcionalidade de instalação de templates não permite mais a escrita arbitrária de arquivos.
Actualice PraisonAI a la versión 1.5.113 o superior para mitigar la vulnerabilidad de deslizamiento de archivos. Asegúrese de que las plantillas se extraigan en un directorio seguro y controlado para evitar la escritura de archivos fuera del directorio de destino.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-39307 is a HIGH severity vulnerability in PraisonAI versions 1.5.113 and below that allows attackers to write arbitrary files during template installation due to a "Zip Slip" flaw.
You are affected if you are using PraisonAI versions 1.5.113 or earlier. Upgrade to version 1.5.113 or later to resolve this vulnerability.
The recommended fix is to upgrade PraisonAI to version 1.5.113 or later. If immediate upgrade is not possible, restrict template download sources and implement input validation.
While no active exploitation has been confirmed, the vulnerability is considered medium risk due to the ease of exploitation and the prevalence of "Zip Slip" attacks.
Refer to the PraisonAI security advisory for detailed information and updates regarding CVE-2026-39307: [https://www.praisona.ai/security/advisories](https://www.praisona.ai/security/advisories)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.