anonhaven

CVE-2026-40111

CRITICAL CVSS 4.0: 9,3 EPSS 0.03%
Обновлено 17 апреля 2026
Payload
Параметр Значение
CVSS 9,3 (CRITICAL)
Уязвимые версии до 1.5.128
Устранено в версии 1.5.128
Тип уязвимости CWE-78 (Внедрение команд ОС)
Поставщик Payload
Публичный эксплойт Нет

PraisonAIAgents — это многоагентная командная система. До версии 1.5.128 исполнитель перехватов памяти в praisonaiagents передает управляемую пользователем командную строку непосредственно в subprocess.run() с Shell=True в src/praisonai-agents/praisonaiagents/memory/hooks.py. Очистка не выполняется, а метасимволы оболочки интерпретируются /bin/sh перед выполнением намеченной команды.

Существуют две независимые поверхности атаки. Первый — через типы событий-перехватчиков pre_run_command и post_run_command, зарегистрированные через конфигурацию перехватчиков. Вторая и более серьезная проблема — это конфигурация жизненного цикла .praisonai/hooks.json, где перехватчики, зарегистрированные для таких событий, как BEFORE_TOOL и AFTER_TOOL, срабатывают автоматически во время работы агента.

Агент, который получает доступ к записи файлов посредством внедрения подсказки, может перезаписать .praisonai/hooks.json и обеспечить выполнение своих полезных данных в автоматическом режиме при каждом последующем событии жизненного цикла без дальнейшего взаимодействия с пользователем. Эта уязвимость исправлена ​​в версии 1.5.128.

Показать оригинальное описание (EN)

PraisonAIAgents is a multi-agent teams system. Prior to 1.5.128, he memory hooks executor in praisonaiagents passes a user-controlled command string directly to subprocess.run() with shell=True at src/praisonai-agents/praisonaiagents/memory/hooks.py. No sanitization is performed and shell metacharacters are interpreted by /bin/sh before the intended command executes. Two independent attack surfaces exist. The first is via pre_run_command and post_run_command hook event types registered through the hooks configuration. The second and more severe surface is the .praisonai/hooks.json lifecycle configuration, where hooks registered for events such as BEFORE_TOOL and AFTER_TOOL fire automatically during agent operation. An agent that gains file-write access through prompt injection can overwrite .praisonai/hooks.json and have its payload execute silently at every subsequent lifecycle event without further user interaction. This vulnerability is fixed in 1.5.128.

Характеристики атаки

Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-78 OS Command Injection (Внедрение команд ОС)

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Praison Praisonaiagents
cpe:2.3:a:praison:praisonaiagents:*:*:*:*:*:*:*:*
 1.5.128

Ссылки 1

https://github.com/MervinPraison/PraisonAI/security/advisories/GHSA-v7px-3835-7…
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-40922

Payload

5,3

CVE-2026-35469

Payload

8,7

CVE-2026-40901

Payload

7,5

CVE-2024-8010

Payload

3,5

CVE-2025-40899

Payload

7,1