CVE-2026-61437 in PraisonAIinformazioni

Riassunto

di VulDB • 10/07/2026

PraisonAI (pacchetto pip praisonaiagents) prima della versione 1.6.78 contiene una vulnerabilità di caricamento dinamico non sicuro dei moduli in AgentFlow._resolve_pydantic_class (src/praisonai-agents/praisonaiagents/workflows/workflows.py). Quando un passaggio del workflow utilizza un riferimento stringa output_pydantic, il framework individua e importa uno strumento tools.py fratello presente nella directory del file di workflow tramite importlib exec_module senza sandboxing, ignorando le variabili d'ambiente PRAISONAI_ALLOW_*_TOOLS. Un attaccante che controlla un file di workflow e il suo file tools.py adiacente può eseguire codice Python arbitrario con i privilegi dell'esecutore del workflow quando quest'ultimo viene eseguito tramite WorkflowManager o dopo load_yaml.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

VulnCheck

Prenotare

09/07/2026

Divulgazione

10/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!