平台
python
组件
praisonai
修复版本
4.5.91
4.5.90
CVE-2026-34934是PraisonAI中存在的一个SQL注入漏洞。攻击者可以通过注入恶意线程ID,在应用程序加载线程列表时执行恶意代码,从而获得对数据库的完全访问权限,造成严重的数据泄露和篡改风险。受影响的版本包括低于或等于4.5.90的版本。此漏洞已在4.5.90版本中得到修复。
PraisonAI 中的 CVE-2026-34934 漏洞允许攻击者获得对数据库的完全访问权限。这是由于 getalluserthreads 函数在构建 SQL 查询时,没有对线程 ID 进行适当的清理。攻击者可以通过 updatethread 函数将恶意代码注入到线程 ID 中。当应用程序加载线程列表时,此注入的有效载荷将执行,允许攻击者在数据库上执行任意命令。此漏洞的严重程度很高(CVSS 9.8),因为它可能危及数据的完整性和保密性。
攻击者可以通过使用 update_thread 函数在数据库中存储恶意线程 ID 来利用此漏洞。此恶意线程 ID 将包含注入的 SQL 代码。当应用程序尝试检索用户线程列表时,生成的 SQL 查询将使用注入的代码执行,从而允许攻击者访问数据库并可能执行任意命令。
Organizations deploying praisonai, particularly those using older versions (≤4.5.9) and those with sensitive data stored in the database, are at significant risk. Shared hosting environments where multiple users share the same database instance are also particularly vulnerable, as an attacker could potentially compromise the entire environment through a single praisonai instance.
• python / server:
grep -r "await data_layer.update_thread(thread_id=" .*/sql_alchemy.py• python / server:
journalctl -u praisonai -f | grep "SQL error"• generic web:
curl -I http://your-praisonai-instance/threads?thread_id='; DROP TABLE users;--disclosure
漏洞利用状态
EPSS
0.06% (20% 百分位)
CISA SSVC
为了减轻此漏洞,建议将 PraisonAI 更新到 4.5.90 或更高版本。此版本包含一个修复程序,该程序在 SQL 查询中使用线程 ID 之前对其进行清理。此外,请检查源代码以识别和更正任何其他使用 f-string 构建 SQL 查询而没有适当清理的实例。为数据库帐户实施最小权限原则也可以帮助限制潜在利用的影响。
Actualice PraisonAI a la versión 4.5.90 o superior para mitigar la vulnerabilidad de inyección SQL de segundo orden. Asegúrese de que las consultas SQL no construyan consultas SQL dinámicas con datos no escapados de la base de datos. Valide y escape adecuadamente todas las entradas del usuario antes de usarlas en consultas SQL.
漏洞分析和关键警报直接发送到您的邮箱。
SQL 注入是一种攻击技术,允许攻击者将恶意 SQL 代码插入到 SQL 查询中,从而允许他们访问敏感数据、修改数据或在服务器上执行命令。
如果您使用的是 PraisonAI 的 4.5.90 之前的版本,则很可能受到此漏洞的影响。请检查您的安装版本并尽快更新。
如果您怀疑您的数据库已被破坏,您应该立即通知您的安全团队并采取措施来控制损害,例如更改密码和审查审计日志。
有几种工具可以帮助您检测 SQL 注入,包括静态代码分析工具和渗透测试工具。
除了更新 PraisonAI 之外,您还可以采取其他安全措施,例如实施最小权限原则、使用参数化查询以及验证所有用户输入。
CVSS 向量
上传你的 requirements.txt 文件,立即知道是否受影响。