HIGHCVE-2026-39306CVSS 7.3

PraisonAI 配方注册库拉取路径遍历写入文件到选定的输出目录之外

Q: 什么是 CVE-2026-39306 — 路径遍历漏洞在 praisonai 中?

CVE-2026-39306 是 praisonai 软件中发现的路径遍历漏洞，允许攻击者通过恶意 tar 归档文件写入任意文件，影响数据安全。

Q: 我是否受到 CVE-2026-39306 在 praisonai 中影响?

如果您正在使用 praisonai 版本小于等于 4.5.98，则可能受到此漏洞的影响。请尽快升级至 4.5.113 或更高版本。

Q: 我如何修复 CVE-2026-39306 在 praisonai 中?

建议升级 praisonai 至 4.5.113 或更高版本。如果无法立即升级，请参考缓解措施，例如审查上传文件和增加路径验证。

Q: CVE-2026-39306 是否正在被积极利用?

目前尚未公开详细利用方案，但由于漏洞的严重性，存在被利用的风险，建议密切关注安全动态。

Q: 在哪里可以找到官方 praisonai 关于 CVE-2026-39306 的公告?

请查阅 praisonai 官方安全公告或更新日志，以获取有关此漏洞的更多信息和修复方案。

平台

python

组件

praisonai

修复版本

4.5.114

4.5.113

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-39306 是 praisonai 软件中发现的路径遍历漏洞。该漏洞允许攻击者通过精心构造的 .praison tar 归档文件，在客户端写入任意文件，可能导致数据泄露或系统损坏。该漏洞影响 praisonai 版本小于等于 4.5.98。已发布补丁版本 4.5.113，建议尽快升级。

影响与攻击场景

攻击者可以利用此漏洞上传包含 ../ 路径遍历条目的恶意 .praison 归档文件。当用户拉取该归档文件时，tar.extractall() 函数会将文件提取到指定的输出目录，但由于缺乏路径验证，攻击者可以利用 ../ 路径遍历，将文件写入到输出目录之外的任意位置。这可能导致攻击者覆盖关键系统文件、篡改数据或执行恶意代码。该漏洞影响本地和 HTTP 两种注册表拉取方式，潜在影响范围较大，可能导致数据泄露和系统完整性受损。

利用背景

目前尚未公开该漏洞的详细利用方案，但由于该漏洞属于路径遍历类型，且影响客户端，因此存在被利用的风险。该漏洞已于 2026 年 4 月 6 日公开，建议密切关注安全社区的动态，及时采取应对措施。CISA 尚未将其添加到 KEV 目录，但根据漏洞的严重程度，建议将其视为中等风险。

哪些人处于风险中翻译中…

Organizations utilizing PraisonAI for recipe management, particularly those relying on user-uploaded recipes, are at risk. Shared hosting environments where multiple users can upload recipes pose a heightened risk, as a malicious recipe could impact other users on the same server. Users with legacy PraisonAI configurations or those who haven't implemented robust input validation practices are also more vulnerable.

检测步骤翻译中…

• python / server:

import os
import tarfile

def check_tar_archive(archive_path):
    try:
        with tarfile.open(archive_path, 'r') as tar:
            for member in tar.getmembers():
                if '..' in member.name:
                    print(f"Potential path traversal detected in: {member.name}")
                    return True
        return False
    except Exception as e:
        print(f"Error processing archive: {e}")
        return False

# Example usage
archive_path = '/path/to/your/archive.praison'
if check_tar_archive(archive_path):
    print("Malicious archive detected!")
else:
    print("Archive appears safe.")

• generic web: Check for unusual file modifications in the recipe pull output directory. Monitor user activity for suspicious file creation or modification patterns.

攻击时间线

2026-04-06Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.04% (13% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

受影响的软件

组件praisonai

供应商osv

影响范围修复版本

< 4.5.113 – < 4.5.1134.5.114

—4.5.113

弱点分类 (CWE)

CWE-22

时间线

已保留2026-04-06
发布日期2026-04-06
修改日期2026-04-07
EPSS 更新日期2026-04-15

披露后-1天发布补丁

缓解措施和替代方案

为了缓解此漏洞，建议尽快升级 praisonai 至 4.5.113 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：首先，严格审查所有上传的 .praison 归档文件，确保其中不包含 ../ 路径遍历条目。其次，在客户端提取文件时，增加额外的路径验证机制，限制文件写入的范围。此外，可以配置 Web 应用防火墙 (WAF) 或代理服务器，拦截包含恶意路径遍历条目的请求。升级后，请确认通过检查文件系统完整性，验证文件是否被写入到非预期位置。

修复方法翻译中…

Actualice a la versión 1.5.113 o posterior para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización valida las rutas de los miembros del archivo antes de la extracción, previniendo la escritura de archivos fuera del directorio de salida especificado.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-39306 — 路径遍历漏洞在 praisonai 中?