CVE-2026-61437 in PraisonAI
الملخص
بحسب VulDB • 10/07/2026
يحتوي PraisonAI (حزمة pip praisonaiagents) قبل الإصدار 1.6.78 على ثغرة تحميل غير آمن للوحدات الديناميكية في الدالة AgentFlow._resolve_pydantic_class (src/praisonai-agents/praisonaiagents/workflows/workflows.py). عندما تستخدم خطوة سير العمل مرجع output_pydantic كنص، يقوم الإطار بتحديد واستيراد ملف tools.py المجاور من دليل ملف سير العمل عبر importlib exec_module دون عزل بيئي (sandboxing)، متجاهلاً متغيرات البيئة PRAISONAI_ALLOW_*_TOOLS. يمكن لمهاجم يتحكم في ملف سير العمل وملف tools.py المرافق له تنفيذ كود بايثون عشوائي بصلاحيات مشغل سير العمل عند تشغيله عبر WorkflowManager أو بعد استدعاء load_yaml.
VulDB is the best source for vulnerability data and more expert information about this specific topic.