Wersje PraisonAI 4.5.139 i wcześniejsze są podatne na atak ArtiPACKED, polegający na niezamierzonym ujawnieniu tokenów uwierzytelniających GitHub (GITHUB_TOKEN, ACTIONS_RUNTIME_TOKEN) w artefaktach pipeline'u CI/CD. Podatność ta umożliwia każdemu użytkownikowi z dostępem do odczytu publicznego repozytorium przejęcie tych tokenów i przeprowadzenie pełnego kompromitacji łańcucha dostaw.
▸ Pokaż oryginał (EN)
PraisonAI is a multi-agent teams system. In versions 4.5.139 and below, the GitHub Actions workflows are vulnerable to ArtiPACKED attack, a known credential leakage vector caused by using actions/checkout without setting persist-credentials: false. By default, actions/checkout writes the GITHUB_TOKEN (and sometimes ACTIONS_RUNTIME_TOKEN) into the .git/config file for persistence, and if any subsequent workflow step uploads artifacts (build outputs, logs, test results, etc.), these tokens can be inadvertently included. Since PraisonAI is a public repository, any user with read access can download these artifacts and extract the leaked tokens, potentially enabling an attacker to push malicious code, poison releases and PyPI/Docker packages, steal repository secrets, and execute a full supply chain compromise affecting all downstream users. The issue spans numerous workflow and action files across .github/workflows/ and .github/actions/. This issue has been fixed in version 4.5.140.
Problem wynika z użycia akcji actions/checkout bez ustawienia opcji persist-credentials: false. Domyślnie akcja ta zapisuje GITHUB_TOKEN (a niekiedy ACTIONS_RUNTIME_TOKEN) do pliku .git/config w celu zachowania sesji uwierzytelniania. Jeśli kolejne kroki workflow przesyłają artefakty (wyniki buildów, logi, wyniki testów itp.), pliki te mogą zawierać wspomniane tokeny. Ponieważ PraisonAI jest publicznym repozytorium, dowolna osoba może pobrać te artefakty i wyekstrahować z nich ważne tokeny uwierzytelniające. Problem obejmuje wiele plików workflow i akcji w katalogach .github/workflows/ oraz .github/actions/.
Atakujący, który uzyska token, może wypychać złośliwy kod do repozytorium, zatruwać wydania oraz pakiety PyPI i Docker, kraść tajemnice repozytorium, a w konsekwencji przeprowadzić pełny atak na łańcuch dostaw, dotykający wszystkich użytkowników korzystających z pakietów PraisonAI.
Należy zaktualizować PraisonAI do wersji 4.5.140, w której problem został naprawiony. Dodatkowo zaleca się stosowanie opcji persist-credentials: false we wszystkich wywołaniach actions/checkout w pipeline'ach CI/CD oraz regularne audytowanie artefaktów workflow pod kątem obecności poufnych danych.
PraisonAI (Praison Praisonai) w wersjach 4.5.139 i wcześniejszych
Podatność sklasyfikowana jako CWE-829 (włączenie funkcjonalności z niezaufanego zakresu sterowania). Technika ataku ArtiPACKED jest opisana przez Unit 42 (Palo Alto Networks) i dotyczy szerszej klasy podatności w repozytoriach GitHub korzystających z actions/checkout bez wyłączenia utrwalania poświadczeń.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NPraison Praisonai
APPPraison< 4.5.140
Powiązane podatności
Path Traversal i RCE w PraisonAI MCP Server (serwer narzędzi plikowych)
Command Injection w PraisonAI — brak walidacji poleceń MCP
PraisonAI — RCE i command injection przez niezaufowane pliki YAML
PraisonAI – nieuwierzytelnione przejęcie sesji przeglądarki przez WebSocket
Path traversal w PraisonAI — nadpisywanie plików przez złośliwy pakiet .praison