Уразливість у PraisonAI дозволяє неавторизований доступ до агентів

Виявлено уразливість у PraisonAI, що дозволяє запускати агентів без автентифікації. Оновіть до версії 4.6.34 для захисту системи.
CVE-2026-44338CVSS 7.3General

Уразливість у PraisonAI дозволяє неавторизований доступ до агентів

Виявлено уразливість у PraisonAI, що дозволяє запускати агентів без автентифікації. Оновіть до версії 4.6.34 для захисту системи.

CVSS
7.3 HIGH
EPSS
97.78%
Активно використовується
немає в KEV
Продукт
praisonai

Що відомо

У версіях PraisonAI від 2.5.6 до 4.6.34 використовується застарілий Flask API сервер з вимкненою автентифікацією за замовчуванням. Це дозволяє будь-якому користувачу, який має доступ до сервера, отримати доступ до /agents та запускати робочі процеси через /chat без токена.

Бізнес-вплив

Ця уразливість може призвести до несанкціонованого запуску агентів і виконання команд у системі, що створює ризик компрометації даних та порушення роботи інфраструктури. ІТ-оператори повинні враховувати високий рівень загрози та пріоритетно реагувати на це питання для захисту своїх систем.

Рекомендовані дії адміністратора

Рекомендується оновити PraisonAI до версії 4.6.34 або новішої, де ця уразливість виправлена. Якщо оновлення наразі неможливе, слід обмежити доступ до API сервера, перевірити журнали доступу на підозрілі дії та впровадити додаткові заходи автентифікації та моніторингу.

Джерела