CVE-2026-39308 是 PraisonAI Recipe Registry 中的路径遍历漏洞。该漏洞允许攻击者通过在bundle manifest中插入 ../ 序列,在注册表主机上创建文件,即使请求最终会以HTTP 400错误被拒绝。此漏洞影响 PraisonAI Recipe Registry 1.5.0 到 4.5.113 版本,已于 2026 年 4 月 7 日公开,建议升级至 1.5.113 版本以修复。
攻击者可以利用此路径遍历漏洞在 PraisonAI Recipe Registry 服务器上写入任意文件。这可能导致服务器配置被篡改,恶意代码被植入,甚至可能导致服务器被完全控制。由于该漏洞允许攻击者在文件系统上写入任意位置,因此潜在的损害范围非常广泛,可能影响到与 Recipe Registry 共享底层服务器的其他应用程序和服务。攻击者可以利用此漏洞窃取敏感数据,破坏系统完整性,并进行进一步的攻击。
目前尚无公开的利用程序 (PoC),但该漏洞的路径遍历特性使其具有较高的利用风险。该漏洞已于 2026 年 4 月 7 日公开,并被添加到 CISA KEV 目录中,表明其具有中等概率被利用。建议密切关注安全社区的动态,并及时采取必要的安全措施。
Organizations utilizing PraisonAI Recipe Registry in production environments, particularly those with automated deployment pipelines or allowing external recipe bundle uploads, are at risk. Shared hosting environments where multiple users can upload recipe bundles are also particularly vulnerable.
• nodejs / server:
grep -r '../' /var/log/nginx/access.log• nodejs / server:
journalctl -u praisonai-registry -g 'manifest.json'• generic web:
curl -I http://your-praisonai-registry/api/v1/recipes/upload | grep 'Server:'disclosure
漏洞利用状态
EPSS
0.06% (20% 百分位)
CISA SSVC
CVSS 向量
为了减轻 CVE-2026-39308 的影响,建议立即升级 PraisonAI Recipe Registry 至 1.5.113 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制 Recipe Registry 服务的权限,使其只能访问必要的目录;实施严格的文件访问控制,防止未经授权的写入操作;监控 Recipe Registry 服务的日志,查找可疑活动。升级后,请验证新版本是否成功部署,并确认路径遍历漏洞已得到修复。
Actualice PraisonAI a la versión 1.5.113 o posterior para mitigar la vulnerabilidad de recorrido de ruta. Asegúrese de que el acceso al registro de recetas esté protegido con un token para evitar el acceso no autorizado. Revise y configure adecuadamente los permisos de escritura en el directorio del registro para limitar el acceso a los archivos.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-39308 是 PraisonAI Recipe Registry 1.5.0 到 4.5.113 版本中发现的路径遍历漏洞,允许攻击者在服务器上写入任意文件。
如果您正在使用 PraisonAI Recipe Registry 1.5.0 到 4.5.113 版本,则可能受到此漏洞的影响。
建议立即升级 PraisonAI Recipe Registry 至 1.5.113 或更高版本。
目前尚无公开的利用程序,但该漏洞具有较高的利用风险,建议密切关注安全动态。
请访问 PraisonAI 的官方网站或 GitHub 仓库,查找有关 CVE-2026-39308 的安全公告。