平台
python
组件
praisonaiagents
修复版本
1.5.91
1.5.90
CVE-2026-34938是PraisonAI Agents中存在的一个远程代码执行(RCE)漏洞。该漏洞允许攻击者通过绕过三层沙箱,在主机上执行任意操作系统命令,造成严重的安全风险。受影响的版本包括低于或等于1.5.90的版本。此漏洞已在1.5.90版本中得到修复。
CVE-2026-34938 影响 PraisonAI,特别是 praisonai-agents 中的 executecode() 函数。此漏洞允许攻击者绕过已实施的安全层,执行任意操作系统代码。问题在于 safe_getattr 如何处理具有覆盖的 startswith() 方法的 str 对象。通过提供此类对象,攻击者可以规避保护并使用 PraisonAI 进程的权限执行操作系统命令。CVSS 严重性评分为 10.0,表明存在关键风险。受影响的版本早于 1.5.90。成功利用此漏洞可能导致系统完全受损。
该漏洞是通过将自定义 str 类传递给 executecode() 函数来利用的。此自定义类覆盖了 startswith() 方法。当使用此对象调用 safegetattr 时,安全检查会被绕过,从而允许执行任意代码。攻击者需要能够影响传递给 executecode() 的参数。这可以通过操纵用户输入或将恶意代码注入 PraisonAI 环境来实现。利用的复杂性相对较低,因为它不需要专门的技能或工具。
漏洞利用状态
EPSS
0.13% (33% 百分位)
CISA SSVC
减轻 CVE-2026-34938 的解决方案是将 PraisonAI 更新到 1.5.90 或更高版本。此版本包含修复程序,通过正确验证传递给 safegetattr 函数的对象类型来解决漏洞。同时,作为临时措施,将对 executecode() 函数的访问限制为受信任的用户和进程。还建议审查和审计使用 executecode() 的任何代码,以识别潜在的攻击入口点。为运行 PraisonAI 的帐户实施最小权限原则可以帮助在成功利用的情况下限制影响。
Actualice la biblioteca PraisonAI Agents a la versión 1.5.90 o superior para mitigar la vulnerabilidad de escape de la sandbox. Esta actualización corrige el problema al evitar que se ejecute código Python no seguro a través de la manipulación del método `startswith()` de una subclase `str`.
漏洞分析和关键警报直接发送到您的邮箱。
PraisonAI 是一个使用代理自动执行任务的 AI 平台。此漏洞影响此平台的特定组件。
CVSS 10.0 表示最高的严重性级别,这意味着该漏洞对安全构成关键风险。
检查您使用的 PraisonAI 版本。如果早于 1.5.90,则您可能受到影响。
限制对 execute_code() 函数的访问,并审计其使用情况以识别潜在的攻击入口点。
攻击者可以使用 PraisonAI 进程的权限执行任何操作系统命令。
CVSS 向量
上传你的 requirements.txt 文件,立即知道是否受影响。