Pubblicato il 2026-07-10 · Fonte: NVD NIST
La vulnerabilità CVE-2026-61444 colpisce le versioni di PraisonAI precedenti alla 4.6.78, consentendo l'iniezione di codice arbitrario a causa della mancanza di sanitizzazione del parametro agents_file in deploy/api.py. Ciò può portare all'esecuzione di codice malevolo tramite subprocess.Popen(). La vulnerabilità non è attualmente sfruttata attivamente, ma il suo impatto potenziale è critico. La causa radice della vulnerabilità è classificata come CWE-94, che riguarda l'iniezione di codice.
Un attaccante può sfruttare questa vulnerabilità per iniettare codice arbitrario Python, che verrà eseguito quando il codice del server generato verrà eseguito. Ciò può portare a conseguenze gravi, come l'accesso non autorizzato ai sistemi o la compromissione dei dati. I sistemi che utilizzano versioni di PraisonAI precedenti alla 4.6.78 sono a rischio.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare PraisonAI alla versione 4.6.78 o successiva. In assenza di un aggiornamento disponibile, è importante adottare pratiche di sicurezza generali, come il monitoraggio delle attività del sistema e la limitazione dell'accesso ai servizi critici. Inoltre, è fondamentale assicurarsi che tutti gli input vengano sanificati e validati per prevenire iniezioni di codice.
La vulnerabilità CVE-2026-61444 è una vulnerabilità di iniezione di codice che colpisce le versioni di PraisonAI precedenti alla 4.6.78.
L'impatto della vulnerabilità è critico, poiché consente l'iniezione di codice arbitrario e può portare a conseguenze gravi come l'accesso non autorizzato ai sistemi o la compromissione dei dati.
Per proteggersi da questa vulnerabilità, è necessario aggiornare PraisonAI alla versione 4.6.78 o successiva e adottare pratiche di sicurezza generali, come il monitoraggio delle attività del sistema e la limitazione dell'accesso ai servizi critici.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.