CRITICAL🇬🇧 English

CVE-2026-41497

Command Injection w PraisonAI — brak walidacji poleceń MCP

CVSS 9.8v3.1pub. 2026-05-08

PraisonAI w wersjach przed 4.6.9 zawiera podatność na command injection w mechanizmie obsługi poleceń MCP, umożliwiającą wykonanie dowolnych poleceń systemowych bez uwierzytelnienia. Podatność jest krytyczna ze względu na brak jakiejkolwiek walidacji argumentów przekazywanych do funkcji parse_mcp_command().

Pokaż oryginał (EN)

PraisonAI is a multi-agent teams system. Prior to version 4.6.9, the fix for PraisonAI's MCP command handling does not add a command allowlist or argument validation to parse_mcp_command(), allowing arbitrary executables like bash, python, or /bin/sh with inline code execution flags to pass through to subprocess execution. This issue has been patched in version 4.6.9.

🤖 Analiza AI
Jak działa

Funkcja parse_mcp_command() odpowiedzialna za obsługę poleceń MCP (Multi-agent Command Protocol) nie implementuje listy dozwolonych poleceń (allowlist) ani walidacji przekazywanych argumentów. Atakujący może w związku z tym przekazać dowolny plik wykonywalny — w tym bash, python czy /bin/sh — wraz z flagami umożliwiającymi inline execution kodu. Tak spreparowane polecenie jest następnie bezpośrednio przekazywane do wywołania subprocess i wykonywane w kontekście systemu operacyjnego.

Skutki

Atakujący zdalny, nieuwierzytelniony może uzyskać pełną kontrolę nad systemem — wykonać dowolny kod, odczytać lub zmodyfikować dane oraz doprowadzić do niedostępności usługi (RCE z pełnymi triami C/I/A).

Mitygacja

Należy zaktualizować PraisonAI do wersji 4.6.9 lub nowszej, w której wprowadzono patcha usuwającego podatność (commit 47bff65413beaa3c21bf633c1fae4e684348368c). Szczegóły dostępne w referencjach producenta (GitHub Security Advisory GHSA-9qhq-v63v-fv3j).

Kogo dotyczy

PraisonAI (Praison Praisonai) w wersjach wcześniejszych niż 4.6.9

Uwagi

Podatność stanowi niekompletną naprawę wcześniejszego zgłoszenia dotyczącego obsługi poleceń MCP w PraisonAI — poprzedni fix nie wprowadził wymaganej listy dozwolonych poleceń ani walidacji argumentów.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Praison Praisonai

    APP
    Praison
    < 4.6.9
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCECommand Injection
CWE
Referencje

Powiązane podatności

CVE-2026-44336CRITICAL9.4PL ✓ten sam produkt

Path Traversal i RCE w PraisonAI MCP Server (serwer narzędzi plikowych)

CVE-2026-40288CRITICAL9.8PL ✓ten sam produkt

PraisonAI — RCE i command injection przez niezaufowane pliki YAML

CVE-2026-40313CRITICAL9.1PL ✓ten sam produkt

PraisonAI – wyciek tokenów GitHub przez atak ArtiPACKED w CI/CD

CVE-2026-40289CRITICAL9.1PL ✓ten sam produkt

PraisonAI – nieuwierzytelnione przejęcie sesji przeglądarki przez WebSocket

CVE-2026-40157CRITICAL9.4PL ✓ten sam produkt

Path traversal w PraisonAI — nadpisywanie plików przez złośliwy pakiet .praison