PraisonAI — это система мультиагентных команд. До версии 4.5.128 PraisonAI рассматривал удаленно полученные файлы шаблонов как доверенный исполняемый код без проверки целостности, проверки происхождения или подтверждения пользователя, что позволяет атаковать цепочку поставок с помощью вредоносных шаблонов. Эта уязвимость исправлена в версии 4.5.128.
Показать оригинальное описание (EN)
PraisonAI is a multi-agent teams system. Prior to 4.5.128, PraisonAI treats remotely fetched template files as trusted executable code without integrity verification, origin validation, or user confirmation, enabling supply chain attacks through malicious templates. This vulnerability is fixed in 4.5.128.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1