CVE-2026-61428 in PraisonAI
要約
〜によって VulDB • 2026年07月11日
PraisonAI AgentMailの4.6.78より前のバージョンでは、Webhookモードで署名検証が行われないため、認証されていない攻撃者が送信者アドレスを偽装したメッセージを注入できます。攻撃者は、カスタム作成されたmessage.receivedイベントをWebhookエンドポイントにPOSTすることでエージェント内に任意の内容を注入し、送信者の許可/拒否リストをバイパスして攻撃者が制御する宛先への返信を引き起こすことができます。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.