PraisonAI — это система мультиагентных команд. До версии 4.5.97 сервер PraisonAI Gateway принимал соединения WebSocket в /ws и обслуживал топологию агента в /info без аутентификации. Любой сетевой клиент может подключаться, перечислять зарегистрированных агентов и отправлять произвольные сообщения агентам и их наборам инструментов.
Эта проблема исправлена в версии 4.5.97.
Показать оригинальное описание (EN)
PraisonAI is a multi-agent teams system. Prior to version 4.5.97, the PraisonAI Gateway server accepts WebSocket connections at /ws and serves agent topology at /info with no authentication. Any network client can connect, enumerate registered agents, and send arbitrary messages to agents and their tool sets. This issue has been patched in version 4.5.97.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Praison Praisonai
cpe:2.3:a:praison:praisonai:*:*:*:*:*:*:*:*
|
— |
4.5.97
|