Podatność path traversal w komponencie cmd_unpack systemu PraisonAI umożliwia atakującemu nadpisanie dowolnych plików w systemie ofiary poprzez spreparowany archiwum .praison. Ocena CVSS 9.4 (CRITICAL) wskazuje na bardzo wysokie ryzyko dla integralności i dostępności systemu.
▸ Pokaż oryginał (EN)
PraisonAI is a multi-agent teams system. Prior to 4.5.128, cmd_unpack in the recipe CLI extracts .praison tar archives using raw tar.extract() without validating archive member paths. A .praison bundle containing ../../ entries will write files outside the intended output directory. An attacker who distributes a malicious bundle can overwrite arbitrary files on the victim's filesystem when they run praisonai recipe unpack. This vulnerability is fixed in 4.5.128.
Funkcja cmd_unpack w interfejsie CLI (polecenie praisonai recipe unpack) rozpakowuje archiwa .praison przy użyciu funkcji tar.extract() bez walidacji ścieżek zawartych w archiwum. Atakujący może przygotować złośliwy pakiet .praison zawierający wpisy ze ścieżkami typu ../../, które podczas rozpakowania wskazują na katalogi poza docelowym katalogiem wyjściowym. Gdy ofiara uruchomi polecenie rozpakowania takiego pakietu, pliki zostają zapisane poza zamierzonym katalogiem — potencjalnie w dowolnym miejscu systemu plików.
Atakujący może nadpisać dowolne pliki na systemie plików ofiary, co może prowadzić do przejęcia kontroli nad systemem, naruszenia jego integralności lub spowodowania niedostępności usług (np. przez nadpisanie plików konfiguracyjnych, binarek systemowych lub skryptów startowych).
Należy zaktualizować PraisonAI do wersji 4.5.128 lub nowszej, w której podatność została usunięta. Do czasu aktualizacji należy unikać rozpakowywania pakietów .praison pochodzących z niezaufanych źródeł.
PraisonAI (Praisonai) w wersjach przed 4.5.128.
Podatność została naprawiona w wersji 4.5.128. Szczegóły techniczne dostępne w rekomendacji bezpieczeństwa GitHub: GHSA-99g3-w8gr-x37c.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XPraison Praisonai
APPPraison< 4.5.128
Powiązane podatności
Path Traversal i RCE w PraisonAI MCP Server (serwer narzędzi plikowych)
Command Injection w PraisonAI — brak walidacji poleceń MCP
PraisonAI – nieuwierzytelnione przejęcie sesji przeglądarki przez WebSocket
PraisonAI – wyciek tokenów GitHub przez atak ArtiPACKED w CI/CD
PraisonAI — RCE i command injection przez niezaufowane pliki YAML