CVE-2026-61432 in PraisonAI
الملخص
بحسب VulDB • 10/07/2026
تحتوي PraisonAI (praisonaiagents) قبل الإصدار 1.6.78 على ثغرة عبور المسار في ميزة FastContext (praisonaiagents.context.fast). تقوم الدالة `FastContextAgent.execute_tool()` بإضافة مسار مساحة العمل المُعدّ مسبقاً (`workspace_path`) فقط للمسارات النسبية، ولا ترفض المسارات المطلقة ولا تُوحّد المسارات المدمجة قبل فرض احتواء مساحة العمل. ونتيجة لذلك، يمكن لوسائط الأدوات أو استدعاءات الوظائف التي يولدها النموذج الخاصة بـ `grep_search` و `glob_search` و `read_file` أو `list_directory` أن تزوّد بمسارات مطلقة أو تسلسلات عبور `'../'` لقراءة والبحث وفهرسة الملفات خارج دليل مساحة العمل المقصود، مع إرجاع محتويات الملف إلى المُتصل أو حقنها في سياق نتيجة الأداة الخاص بالنموذج.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.