CVE-2026-61435 in PraisonAIinformation

Résumé

par VulDB • 15/07/2026

PraisonAI avant la version 4.6.78 présente une faille de contournement d'authentification dans les points de terminaison d'appel des agents de l'API Call (src/praisonai/praisonai/api/agent_invoke.py) lorsque PRAISONAI_CALL_AUTH=disabled est configuré. La mesure de sécurité destinée à limiter la désactivation de l'authentification au seul accès en local dérive l'hôte lié depuis request.url.hostname, qui est extrait de l'en-tête HTTP Host contrôlé par le client. Un attaquant distant non authentifié pouvant atteindre le service via le réseau peut envoyer un en-tête 'Host: 127.0.0.1' falsifié pour contourner la restriction limitant l'accès au localhost et lister (GET /api/v1/agents) ainsi qu'invoquer (POST /api/v1/agents/{agent_id}/invoke) les agents enregistrés sans authentification.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

VulnCheck

Réserver

09/07/2026

Divulgation

15/07/2026

Modérer

accepté

Entrée

VDB-379231

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Want to stay up to date on a daily basis?

Enable the mail alert feature now!