PraisonAIAgents — это многоагентная командная система. До версии 1.5.128 резервный путь httpx web_crawl передавал предоставленные пользователем URL-адреса непосредственно в httpx.AsyncClient.get() с параметром Follow_redirects=True и без проверки хоста. Агент LLM, обманом просканировавший внутренний URL-адрес, может достичь конечных точек облачных метаданных (169.254.169.254), внутренних служб и локального хоста.
Содержимое ответа возвращается агенту и может появиться в выходных данных, видимых злоумышленнику. Этот запасной вариант является путем сканирования по умолчанию в новой установке PraisonAI (без ключа Tavily и без установленного Crawl4AI). Эта уязвимость исправлена в версии 1.5.128.
Показать оригинальное описание (EN)
PraisonAIAgents is a multi-agent teams system. Prior to 1.5.128, web_crawl's httpx fallback path passes user-supplied URLs directly to httpx.AsyncClient.get() with follow_redirects=True and no host validation. An LLM agent tricked into crawling an internal URL can reach cloud metadata endpoints (169.254.169.254), internal services, and localhost. The response content is returned to the agent and may appear in output visible to the attacker. This fallback is the default crawl path on a fresh PraisonAI installation (no Tavily key, no Crawl4AI installed). This vulnerability is fixed in 1.5.128.
Характеристики атаки
Последствия
Строка CVSS v4.0