PraisonAI — это система мультиагентных команд. В версиях PraisonAI ниже 4.5.139 и praisonaiagents 1.5.140 мост браузера (запуск браузера praisonai) уязвим для перехвата удаленного сеанса без аутентификации из-за отсутствия аутентификации и обходной проверки происхождения на конечной точке /ws WebSocket. По умолчанию сервер привязывается к 0.0.0.0 и проверяет заголовок Origin только в том случае, если он присутствует.
Это означает, что любой клиент, не являющийся браузером, который пропускает заголовок, принимается без ограничений. Сетевой злоумышленник, не прошедший проверку подлинности, может подключиться, отправить сообщение start_session, и сервер направит его на первый незанятый WebSocket расширения браузера (фактически перехватив этот сеанс), а затем передаст все результирующие действия автоматизации и выходные данные обратно злоумышленнику. Это обеспечивает несанкционированное удаленное управление подключенными сеансами автоматизации браузера, утечку конфиденциального контекста страницы и результатов автоматизации, а также неправомерное использование действий браузера, поддерживаемых моделью, в любой среде, где мост доступен по сети.
Эта проблема исправлена в версиях PraisonAI 4.5.139 и praisonaiagents 1.5.140.
Показать оригинальное описание (EN)
PraisonAI is a multi-agent teams system. In versions below 4.5.139 of PraisonAI and 1.5.140 of praisonaiagents, the browser bridge (praisonai browser start) is vulnerable to unauthenticated remote session hijacking due to missing authentication and a bypassable origin check on its /ws WebSocket endpoint. The server binds to 0.0.0.0 by default and only validates the Origin header when one is present, meaning any non-browser client that omits the header is accepted without restriction. An unauthenticated network attacker can connect, send a start_session message, and the server will route it to the first idle browser-extension WebSocket (effectively hijacking that session) and then broadcast all resulting automation actions and outputs back to the attacker. This enables unauthorized remote control of connected browser automation sessions, leakage of sensitive page context and automation results, and misuse of model-backed browser actions in any environment where the bridge is network-reachable. This issue has been fixed in versions 4.5.139 of PraisonAI and 1.5.140 of praisonaiagents.
Характеристики атаки
Последствия
Строка CVSS v3.1