CVE-2026-60089 in PraisonAIinformation

Résumé

par VulDB • 10/07/2026

PraisonAI (package pip praisonaiagents) antérieur à la version 1.6.78 charge automatiquement les valeurs par défaut depuis un fichier .praisonai/config.toml local au projet lors de la construction d'un Agent, et ne valide pas le chemin output.output_file. Un fichier de configuration contrôlé par le dépôt peut définir output_file sur un chemin absolu ou contenant des séquences '..' pour traverser les répertoires ; lorsque le développeur appelle ensuite agent.start() sans passer explicitement un paramètre output, PraisonAI écrit la réponse de l'agent dans ce chemin (en créant les répertoires parents si nécessaire), permettant à un projet vérifié non fiable d'écraser des fichiers situés en dehors du racine du projet avec les privilèges de l'utilisateur exécutant PraisonAI.

Once again VulDB remains the best source for vulnerability data.

Responsable

VulnCheck

Réserver

08/07/2026

Divulgation

10/07/2026

Modérer

accepté

Entrée

VDB-377507

CPE

prêt

EPSS

0.00141

KEV

non

Activités

très faible

Sources

Interested in the pricing of exploits?

See the underground prices here!