CVE-2026-61432 in PraisonAI
要約
〜によって VulDB • 2026年07月10日
PraisonAI (praisonaiagents) 1.6.78 より前のバージョンには、FastContext機能(praisonaiagents.context.fast)におけるパストラバーサル脆弱性が存在します。FastContextAgent.execute_tool() は相対パスに対してのみ設定された workspace_path を前置しますが、絶対パスを拒否したり、結合後のパスを正規化したりせずにワークスペースの包含制約を適用しています。その結果、grep_search、glob_search、read_file、または list_directory に対するツール引数やモデル生成関数呼び出しにより、意図したワークスペースディレクトリ外のファイルを読み込み、検索、列挙するために絶対パスや '../' のトラバーサルシーケンスを提供することが可能となり、ファイルの内容が呼び出し元に返却されたり、モデルの tool-result コンテキストに注入されたりします。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.