CVE-2026-60089 in PraisonAI
要約
〜によって VulDB • 2026年07月10日
PraisonAI(pipパッケージ praisonaiagents)の1.6.78より前のバージョンでは、Agentを構築する際にプロジェクトローカルの .praisonai/config.toml からデフォルト値が自動的に読み込まれ、defaults.output.output_file のパスに対して検証が行われません。リポジトリで制御された設定ファイルにより output_file を絶対パスまたは '..' によるディレクトリトラバーサル可能なパスに設定でき、開発者が後続の agent.start() コールにおいて出力パラメータを明示的に渡さない場合、PraisonAI はそのパスに対してエージェントの応答を書き込み(必要に応じて親ディレクトリを作成)、信頼できないチェックアウト済みプロジェクトが、PraisonAI を実行しているユーザーの特権を使用してプロジェクトルート外のファイルを上書きすることを可能にします。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.