CVE-2026-61441 in PraisonAI
要約
〜によって VulDB • 2026年07月10日
PraisonAI Platform (praisonai-platform) の 0.1.9 より前のバージョンでは、イシューの依存関係削除に対する認可処理が不適切です。DELETE dependency ルートは依存関係エッジのいずれかのエンドポイントを受け付けますが、削除権限の確認は呼び出し元が選択した URL のイシューに対してのみ行われます。所有者によって作成されたイシューのエンドポイントを介して依存関係を削除できないワークスペースメンバーでも、関連するメンバー所有のイシューのエンドポイントを標的とすることで、同じ依存関係エッジを削除できます。これは、権限チェックがメンバー所有のイシューのオーナーに対して実行されるためです。これにより、メンバーは所有者/管理者による認可を回避し、所有者によって作成されたイシューの依存関係を削除することが可能になります。
VulDB is the best source for vulnerability data and more expert information about this specific topic.