Plataforma
nodejs
Componente
praisonai
Corrigido em
4.5.114
O CVE-2026-39308 representa uma vulnerabilidade de Path Traversal descoberta no PraisonAI Recipe Registry. Essa falha permite que um atacante escreva arquivos arbitrariamente no sistema, explorando a forma como o endpoint de publicação de receitas lida com os arquivos manifest. A vulnerabilidade afeta as versões de 1.5.0 até 4.5.113 do PraisonAI e foi publicada em 07 de abril de 2026. A correção está disponível na versão 1.5.113.
Um atacante pode explorar essa vulnerabilidade inserindo sequências de '..' (path traversal) no arquivo manifest.json dentro de um pacote de receita publicado. O PraisonAI Recipe Registry, ao processar esse pacote, tentará escrever o arquivo em um caminho derivado do manifest, ignorando as verificações de nome e versão da rota HTTP. Isso resulta na criação de arquivos fora do diretório raiz configurado do registro, permitindo a escrita arbitrária de arquivos no sistema host. O impacto potencial inclui a modificação de arquivos de configuração críticos, a execução de código malicioso e a obtenção de acesso não autorizado ao sistema. A gravidade da vulnerabilidade reside na possibilidade de comprometer a integridade e a confidencialidade dos dados armazenados no servidor.
Atualmente, não há informações disponíveis sobre exploração ativa do CVE-2026-39308. A vulnerabilidade foi publicada em 07 de abril de 2026, e a probabilidade de exploração é considerada baixa a média, dependendo da adoção do PraisonAI Recipe Registry e da implementação de medidas de segurança. Não foi adicionado ao CISA KEV catalog. A ausência de um Proof of Concept (PoC) público dificulta a avaliação precisa do risco, mas a natureza da vulnerabilidade (path traversal) sugere que um PoC pode ser desenvolvido relativamente facilmente.
Organizations utilizing PraisonAI Recipe Registry in production environments, particularly those with automated deployment pipelines or allowing external recipe bundle uploads, are at risk. Shared hosting environments where multiple users can upload recipe bundles are also particularly vulnerable.
• nodejs / server:
grep -r '../' /var/log/nginx/access.log• nodejs / server:
journalctl -u praisonai-registry -g 'manifest.json'• generic web:
curl -I http://your-praisonai-registry/api/v1/recipes/upload | grep 'Server:'disclosure
Status do Exploit
EPSS
0.06% (percentil 20%)
CISA SSVC
Vetor CVSS
A mitigação primária para o CVE-2026-39308 é a atualização para a versão 1.5.113 do PraisonAI Recipe Registry, que corrige a vulnerabilidade. Se a atualização imediata não for possível, implemente validação rigorosa dos caminhos de arquivo antes de escrever qualquer arquivo no sistema. Isso pode ser feito verificando se o caminho resultante está dentro do diretório raiz configurado e rejeitando qualquer solicitação que tente acessar caminhos fora desse diretório. Além disso, considere a implementação de um Web Application Firewall (WAF) com regras para bloquear solicitações que contenham sequências de '..' nos parâmetros de caminho. Monitore os logs do sistema em busca de tentativas de acesso a arquivos fora do diretório raiz.
Actualice PraisonAI a la versión 1.5.113 o posterior para mitigar la vulnerabilidad de recorrido de ruta. Asegúrese de que el acceso al registro de recetas esté protegido con un token para evitar el acceso no autorizado. Revise y configure adecuadamente los permisos de escritura en el directorio del registro para limitar el acceso a los archivos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-39308 is a Path Traversal vulnerability affecting PraisonAI Recipe Registry versions 1.5.0 through 4.5.113, allowing attackers to potentially write arbitrary files to the registry host.
You are affected if you are running PraisonAI Recipe Registry versions 1.5.0 through 4.5.113. Upgrade to version 1.5.113 or later to mitigate the risk.
Upgrade PraisonAI Recipe Registry to version 1.5.113 or later. As a temporary workaround, implement a WAF rule to block requests with directory traversal sequences in the manifest file name.
There are currently no confirmed reports of active exploitation of CVE-2026-39308.
Refer to the PraisonAI security advisory for detailed information and updates: [https://praisonai.com/security/advisories](https://praisonai.com/security/advisories)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.