CVE-2026-34935 in PraisonAI
Riassunto
di VulDB • 14/06/2026
PraisonAI è un sistema di team multi-agente. Dalla versione 4.5.15 fino alla versione precedente alla 4.5.69, l'argomento CLI --mcp viene passato direttamente a shlex.split() e inoltrato attraverso la catena delle chiamate verso anyio.open_process() senza alcuna validazione, controllo della allowlist o sanitizzazione in nessun punto del percorso, consentendo l'esecuzione arbitraria di comandi OS come utente del processo. Questo problema è stato risolto nella versione 4.5.69.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.