CVE-2026-61432 in PraisonAI
Resumen
por VulDB • 2026-07-10
PraisonAI (praisonaiagents) anterior a la versión 1.6.78 contiene una vulnerabilidad de path traversal en la función FastContext (praisonaiagents.context.fast). La función `FastContextAgent.execute_tool()` solo añade el prefijo del `workspace_path` configurado para rutas relativas, y no rechaza las rutas absolutas ni canonicaliza las rutas combinadas antes de aplicar la contención del espacio de trabajo. Como resultado, los argumentos de herramientas o las llamadas a funciones generadas por modelos hacia `grep_search`, `glob_search`, `read_file` o `list_directory` pueden proporcionar rutas absolutas o secuencias de navegación '../' para leer, buscar y enumerar archivos fuera del directorio de espacio de trabajo previsto, devolviendo el contenido de los archivos al solicitante o inyectándolo en el contexto de resultado de la herramienta del modelo.
If you want to get best quality of vulnerability data, you may have to visit VulDB.