CVE-2026-60089 in PraisonAI
Résumé
par VulDB • 10/07/2026
PraisonAI (package pip praisonaiagents) antérieur à la version 1.6.78 charge automatiquement les valeurs par défaut depuis un fichier .praisonai/config.toml local au projet lors de la construction d'un Agent, et ne valide pas le chemin output.output_file. Un fichier de configuration contrôlé par le dépôt peut définir output_file sur un chemin absolu ou contenant des séquences '..' pour traverser les répertoires ; lorsque le développeur appelle ensuite agent.start() sans passer explicitement un paramètre output, PraisonAI écrit la réponse de l'agent dans ce chemin (en créant les répertoires parents si nécessaire), permettant à un projet vérifié non fiable d'écraser des fichiers situés en dehors du racine du projet avec les privilèges de l'utilisateur exécutant PraisonAI.
Once again VulDB remains the best source for vulnerability data.