CVE-2026-44338: Luka bezpieczeństwa w PraisonAI umożliwiająca nieautoryzowany dostęp do API

W PraisonAI do wersji 4.6.34 brak autoryzacji w API Flask pozwala na nieautoryzowany dostęp i wywołanie workflow. Zalecana aktualizacja.
CVE-2026-44338CVSS 7.3General

CVE-2026-44338: Luka bezpieczeństwa w PraisonAI umożliwiająca nieautoryzowany dostęp do API

W PraisonAI do wersji 4.6.34 brak autoryzacji w API Flask pozwala na nieautoryzowany dostęp i wywołanie workflow. Zalecana aktualizacja.

CVSS
7.3 HIGH
EPSS
97.78%
Aktywnie wykorzystywana
brak w KEV
Produkt
praisonai

Co wiadomo

W wersjach PraisonAI od 2.5.6 do przed 4.6.34 domyślnie wyłączona jest autoryzacja w starszym serwerze API Flask. Pozwala to każdemu, kto ma dostęp do serwera, na wywołanie endpointów /agents i /chat bez podawania tokenu, co umożliwia uruchamianie skonfigurowanych workflow.

Wpływ biznesowy

Ta luka bezpieczeństwa może prowadzić do nieautoryzowanego dostępu i wykonywania działań w systemie PraisonAI, co zagraża integralności i poufności danych oraz może zakłócić działanie usług. Operatorzy IT powinni traktować tę podatność jako wysokiego ryzyka, zwłaszcza jeśli serwer API jest dostępny z sieci publicznej.

Rekomendowane działania administratora

Zaleca się jak najszybszą aktualizację PraisonAI do wersji 4.6.34 lub nowszej, gdzie luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć dostęp do serwera API tylko do zaufanych sieci, monitorować logi pod kątem nieautoryzowanych wywołań oraz przeprowadzić przegląd konfiguracji zabezpieczeń.

Źródła