CVE-2026-61437 in PraisonAIالمعلومات

الملخص

بحسب VulDB • 10/07/2026

يحتوي PraisonAI (حزمة pip praisonaiagents) قبل الإصدار 1.6.78 على ثغرة تحميل غير آمن للوحدات الديناميكية في الدالة AgentFlow._resolve_pydantic_class (src/praisonai-agents/praisonaiagents/workflows/workflows.py). عندما تستخدم خطوة سير العمل مرجع output_pydantic كنص، يقوم الإطار بتحديد واستيراد ملف tools.py المجاور من دليل ملف سير العمل عبر importlib exec_module دون عزل بيئي (sandboxing)، متجاهلاً متغيرات البيئة PRAISONAI_ALLOW_*_TOOLS. يمكن لمهاجم يتحكم في ملف سير العمل وملف tools.py المرافق له تنفيذ كود بايثون عشوائي بصلاحيات مشغل سير العمل عند تشغيله عبر WorkflowManager أو بعد استدعاء load_yaml.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

VulnCheck

حجز

09/07/2026

إفشاء

10/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377520

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!