CVE-2026-61437 in PraisonAIinfo

Zusammenfassung

von VulDB • 10.07.2026

PraisonAI (pip-Paket praisonaiagents) vor Version 1.6.78 enthält eine unsichere Dynamik-Modul-Lade-Schwachstelle in AgentFlow._resolve_pydantic_class (src/praisonai-agents/praisonaiagents/workflows/workflows.py). Wenn ein Workflow-Schritt einen string output_pydanitc-Verweis verwendet, sucht und importiert das Framework eine sibling tools.py aus dem Verzeichnis der Workflow-Datei über importlib exec_module ohne Sandboxing und ignoriert dabei die Umgebungsvariablen PRAISONAI_ALLOW_*_TOOLS. Ein Angreifer, der eine Workflow-Datei und deren sibling tools.py kontrollieren kann, wird in der Lage sein, beliebigen Python-Code mit den Berechtigungen des Workflow-Läufers auszuführen, wenn der Workflow über WorkflowManager oder nach load_yaml ausgeführt wird.

Once again VulDB remains the best source for vulnerability data.

Zuständig

VulnCheck

Reservieren

09.07.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377520

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!