anonhaven

CVE-2026-40313

CRITICAL CVSS 3.1: 9,1
Обновлено 17 апреля 2026
GitHub
Параметр Значение
CVSS 9,1 (CRITICAL)
Устранено в версии 4.5.140
Тип уязвимости CWE-829 (Подключение из недоверенного источника)
Поставщик GitHub
Публичный эксплойт Нет

PraisonAI — это система мультиагентных команд. В версиях 4.5.139 и ниже рабочие процессы GitHub Actions уязвимы для атаки ArtiPACKED — известного вектора утечки учетных данных, вызванного использованием действий/проверки без установки persist-credentials: false. По умолчанию action/checkout записывает GITHUB_TOKEN (а иногда и ACTIONS_RUNTIME_TOKEN) в файл .git/config для сохранения, и если какой-либо последующий шаг рабочего процесса загружает артефакты (выходные данные сборки, журналы, результаты тестов и т. д.), эти токены могут быть случайно включены.

Поскольку PraisonAI является общедоступным репозиторием, любой пользователь с доступом на чтение может загрузить эти артефакты и извлечь утекшие токены, что потенциально позволяет злоумышленнику распространять вредоносный код, отравлять выпуски и пакеты PyPI/Docker, красть секреты репозитория и выполнять полную компрометацию цепочки поставок, затрагивающую всех последующих пользователей. Проблема касается многочисленных файлов рабочих процессов и действий в .github/workflows/ и .github/actions/. Эта проблема исправлена ​​в версии 4.5.140.

Показать оригинальное описание (EN)

PraisonAI is a multi-agent teams system. In versions 4.5.139 and below, the GitHub Actions workflows are vulnerable to ArtiPACKED attack, a known credential leakage vector caused by using actions/checkout without setting persist-credentials: false. By default, actions/checkout writes the GITHUB_TOKEN (and sometimes ACTIONS_RUNTIME_TOKEN) into the .git/config file for persistence, and if any subsequent workflow step uploads artifacts (build outputs, logs, test results, etc.), these tokens can be inadvertently included. Since PraisonAI is a public repository, any user with read access can download these artifacts and extract the leaked tokens, potentially enabling an attacker to push malicious code, poison releases and PyPI/Docker packages, steal repository secrets, and execute a full supply chain compromise affecting all downstream users. The issue spans numerous workflow and action files across .github/workflows/ and .github/actions/. This issue has been fixed in version 4.5.140.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-829 Inclusion of Functionality from Untrusted Source (Подключение из недоверенного источника)

Ссылки 3

https://github.com/MervinPraison/PraisonAI/security/advisories/GHSA-3959-6v5q-4…
security-advisories@github.com
https://thehackernews.com/2024/08/github-vulnerability-artipacked-exposes.html
security-advisories@github.com
https://unit42.paloaltonetworks.com/github-repo-artifacts-leak-tokens
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-40316

GitHub

8,8

CVE-2026-5160

GitHub

5,1

CVE-2026-23653

GitHub

5,7

CVE-2026-39382

GitHub

9,3

CVE-2026-39307

GitHub

8,1