База данных уязвимостей CVE

PraisonAI — это система мультиагентных команд. До версии 4.5.128 конечная точка /api/approval/allow-list шлюза разрешала изменение списка разрешений для утверждения инструмента без проверки подлинности, если auth_token не настроен (по умолчанию). Добавляя …

PraisonAI — это система мультиагентных команд. До версии 4.5.128 функция _safe_extractall() в реестре рецептов PraisonAI проверяет элементы архива на предмет атак с обходом пути, но не выполняет никаких проверок размеров …

PraisonAIAgents — это многоагентная командная система. До версии 1.5.128 функция read_skill_file() в файлеkill_tools.py позволяла читать произвольные файлы из файловой системы, принимая неограниченный параметрkill_path. В отличие от file_tools.read_file, который обеспечивает ограничение …

PraisonAI — это система мультиагентных команд. До версии 4.5.128 конечная точка WebSocket /media-stream в модуле вызовов PraisonAI принимала соединения от любого клиента без аутентификации или проверки подписи Twilio. Каждое соединение …

PraisonAI — это система мультиагентных команд. До версии 4.5.128 сервер реестра рецептов на основе WSGI (server.py) считывает все тело HTTP-запроса в память на основе предоставленного клиентом заголовка Content-Length без верхней …

PraisonAI — это система мультиагентных команд. До версии 4.5.128 конечная точка /api/v1/runs принимала произвольный webhook_url в теле запроса без проверки URL-адреса. Когда отправленное задание завершается (успешно или неудачно), сервер отправляет …

PraisonAI — это система мультиагентных команд. До версии 4.5.128 развертывание.py создает одну строку, разделенную запятыми, для запуска gcloud. разверните аргумент --set-env-vars путем прямой интерполяции openai_model, openai_key и openai_base без проверки …

PraisonAI — это система мультиагентных команд. До версии 4.5.128 конечная точка Flask API в src/praisonai/api.py отображает выходные данные агента в формате HTML без эффективной очистки. Функция _sanitize_html использует библиотеку nh3, …

PraisonAIAgents — это многоагентная командная система. До версии 1.5.128 исполнитель перехватов памяти в praisonaiagents передает управляемую пользователем командную строку непосредственно в subprocess.run() с Shell=True в src/praisonai-agents/praisonaiagents/memory/hooks.py. Очистка не выполняется, а …

Dockyard — это приложение для управления контейнерами Docker. До версии 1.1.0 операции запуска и остановки контейнера Docker выполнялись посредством запросов GET без защиты CSRF. Удаленный злоумышленник может заставить браузер вошедшего …