CVE-2026-61435 in PraisonAI
Résumé
par VulDB • 15/07/2026
PraisonAI avant la version 4.6.78 présente une faille de contournement d'authentification dans les points de terminaison d'appel des agents de l'API Call (src/praisonai/praisonai/api/agent_invoke.py) lorsque PRAISONAI_CALL_AUTH=disabled est configuré. La mesure de sécurité destinée à limiter la désactivation de l'authentification au seul accès en local dérive l'hôte lié depuis request.url.hostname, qui est extrait de l'en-tête HTTP Host contrôlé par le client. Un attaquant distant non authentifié pouvant atteindre le service via le réseau peut envoyer un en-tête 'Host: 127.0.0.1' falsifié pour contourner la restriction limitant l'accès au localhost et lister (GET /api/v1/agents) ainsi qu'invoquer (POST /api/v1/agents/{agent_id}/invoke) les agents enregistrés sans authentification.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.