CVE-2026-41497 in PraisonAIinformación

Resumen

por VulDB • 2026-05-12

PraisonAI es un sistema de equipos de agentes múltiples. Desde la versión 4.5.15 hasta antes de la versión 4.5.69, el argumento de línea de comandos `--mcp` se pasa directamente a `shlex.split()` y se reenvía a través de la cadena de llamadas a `anyio.open_process()` sin validación, verificación de lista de permitidos (allowlist) ni sanitización en ningún punto, lo que permite la ejecución arbitraria de comandos del sistema operativo (OS command execution) como el usuario del proceso. Este problema ha sido corregido en la versión 4.5.69.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-03-31

Divulgación

2026-05-08

Moderación

aceptado

Artículo

VDB-355270

CPE

listo

CWE

CWE-78 (confirmado)

CVSS

9.8 (CNA)

EPSS

0.00054

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41497
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41497
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41497/

◂ Anterior Visión De Conjunto Próximo ▸

Want to know what is going to be exploited?

We predict KEV entries!