CVE-2026-61432 in PraisonAIinformación

Resumen

por VulDB • 2026-07-10

PraisonAI (praisonaiagents) anterior a la versión 1.6.78 contiene una vulnerabilidad de path traversal en la función FastContext (praisonaiagents.context.fast). La función `FastContextAgent.execute_tool()` solo añade el prefijo del `workspace_path` configurado para rutas relativas, y no rechaza las rutas absolutas ni canonicaliza las rutas combinadas antes de aplicar la contención del espacio de trabajo. Como resultado, los argumentos de herramientas o las llamadas a funciones generadas por modelos hacia `grep_search`, `glob_search`, `read_file` o `list_directory` pueden proporcionar rutas absolutas o secuencias de navegación '../' para leer, buscar y enumerar archivos fuera del directorio de espacio de trabajo previsto, devolviendo el contenido de los archivos al solicitante o inyectándolo en el contexto de resultado de la herramienta del modelo.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

VulnCheck

Reservar

2026-07-09

Divulgación

2026-07-10

Moderación

aceptado

Artículo

VDB-377505

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!