CVE-2026-61437 in PraisonAI情報

要約

〜によって VulDB • 2026年07月10日

PraisonAI (pipパッケージ praisonaiagents) 1.6.78以前には、AgentFlow._resolve_pydantic_class(src/praisonai-agents/praisonaiagents/workflows/workflows.py)において安全でない動的モジュール読み込みの脆弱性が存在する。ワークフローステップが文字列形式のoutput_pydantic参照を使用する場合、フレームワークはサンドボックス化を行わずimportlib exec_moduleを使用してワークフローファイルのディレクトリから兄弟関係にあるtools.pyを検索してインポートし、PRAISONAI_ALLOW_*_TOOLS環境変数を無視する。ワークフローファイルとその兄弟関係にあるtools.pyを制御できる攻撃者は、WorkflowManager経由でワークフローが実行された場合、またはload_yaml後に任意のPythonコードを実行できる特権を持つワークフローランナーとして動作させることができる。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

VulnCheck

予約する

2026年07月09日

モデレーション

承諾済み

エントリ

VDB-377520

EPSS

0.00000

アクティビティ

非常低い

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!