CVE-2026-44338: Luka bezpieczeństwa w PraisonAI umożliwiająca nieautoryzowany dostęp do API
W PraisonAI do wersji 4.6.34 brak autoryzacji w API Flask pozwala na nieautoryzowany dostęp i wywołanie workflow. Zalecana aktualizacja.
- CVSS
- 7.3 HIGH
- EPSS
- 97.78%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- praisonai
Co wiadomo
W wersjach PraisonAI od 2.5.6 do przed 4.6.34 domyślnie wyłączona jest autoryzacja w starszym serwerze API Flask. Pozwala to każdemu, kto ma dostęp do serwera, na wywołanie endpointów /agents i /chat bez podawania tokenu, co umożliwia uruchamianie skonfigurowanych workflow.
Wpływ biznesowy
Ta luka bezpieczeństwa może prowadzić do nieautoryzowanego dostępu i wykonywania działań w systemie PraisonAI, co zagraża integralności i poufności danych oraz może zakłócić działanie usług. Operatorzy IT powinni traktować tę podatność jako wysokiego ryzyka, zwłaszcza jeśli serwer API jest dostępny z sieci publicznej.
Rekomendowane działania administratora
Zaleca się jak najszybszą aktualizację PraisonAI do wersji 4.6.34 lub nowszej, gdzie luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć dostęp do serwera API tylko do zaufanych sieci, monitorować logi pod kątem nieautoryzowanych wywołań oraz przeprowadzić przegląd konfiguracji zabezpieczeń.