anonhaven

CVE-2026-40288

CRITICAL CVSS 3.1: 9,8
Обновлено 17 апреля 2026
Python
Параметр Значение
CVSS 9,8 (CRITICAL)
Тип уязвимости CWE-94 (Внедрение кода), CWE-78 (Внедрение команд ОС)
Поставщик Python
Публичный эксплойт Нет

PraisonAI — это система мультиагентных команд. В версиях PraisonAI ниже 4.5.139 и praisonaiagents 1.5.140 механизм рабочего процесса уязвим для выполнения произвольных команд и кода через ненадежные файлы YAML. Когда рабочий процесс praisonai <file.yaml> загружает файл YAML с типом: job, JobWorkflowExecutor в job_workflow.py обрабатывает шаги, которые поддерживают run: (команды оболочки через subprocess.run()), скрипт: (встроенный Python через exec()) и python: (выполнение произвольного скрипта Python) — и все это без какой-либо проверки, изолированной программной среды или подтверждения пользователя.

Затронутые пути кода включают action_run() в workflow.py и _exec_shell(), _exec_inline_python() и _exec_python_script() в job_workflow.py. Злоумышленник, который может предоставить YAML-файл рабочего процесса или повлиять на него (особенно в конвейерах CI, общих репозиториях или многопользовательских средах развертывания), может добиться полного выполнения произвольных команд в хост-системе, ставя под угрозу машину и любые доступные данные или учетные данные. Эта проблема исправлена ​​в версиях PraisonAI 4.5.139 и praisonaiagents 1.5.140.

Показать оригинальное описание (EN)

PraisonAI is a multi-agent teams system. In versions below 4.5.139 of PraisonAI and 1.5.140 of praisonaiagents, the workflow engine is vulnerable to arbitrary command and code execution through untrusted YAML files. When praisonai workflow run <file.yaml> loads a YAML file with type: job, the JobWorkflowExecutor in job_workflow.py processes steps that support run: (shell commands via subprocess.run()), script: (inline Python via exec()), and python: (arbitrary Python script execution)—all without any validation, sandboxing, or user confirmation. The affected code paths include action_run() in workflow.py and _exec_shell(), _exec_inline_python(), and _exec_python_script() in job_workflow.py. An attacker who can supply or influence a workflow YAML file (particularly in CI pipelines, shared repositories, or multi-tenant deployment environments) can achieve full arbitrary command execution on the host system, compromising the machine and any accessible data or credentials. This issue has been fixed in versions 4.5.139 of PraisonAI and 1.5.140 of praisonaiagents.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-94 Code Injection (Внедрение кода)
CWE-78 OS Command Injection (Внедрение команд ОС)

Ссылки 1

https://github.com/MervinPraison/PraisonAI/security/advisories/GHSA-vc46-vw85-3…
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-40683

Python

7,7

CVE-2026-5713

Python

5,3

CVE-2026-40287

Python

8,4

CVE-2026-39419

Python

3,1

CVE-2026-39421

Python

6,3