CVE-2026-39308 in PraisonAI
요약
\~에 의해 VulDB • 2026. 05. 30.
PraisonAI는 다중 에이전트 팀 시스템입니다. 1.5.113 이전 버전에서 PraisonAI의 레시피 레지스트리 게시 엔드포인트는 매니페스트의 이름과 버전이 HTTP 라우트와 일치하는지 검증하기 전에, 번들의 내부 manifest.json에서 파생된 파일 시스템 경로에 업로드된 레시피 번들을 작성합니다. 악의적인 게시자는 번들 매니페스트에 ../ 트래버설 시퀀스를 삽입하여 요청이 최종적으로 HTTP 400으로 거부되더라도 레지스트리 서버가 구성된 레지스트리 루트 외부에 파일을 생성하도록 할 수 있습니다. 이는 레지스트리 호스트에서의 임의 파일 쓰기/경로 트래버설 문제입니다. 이 취약점은 레시피 레지스트리 게시 흐름을 노출하는 배포 환경에 영향을 미칩니다. 레지스트리가 의도적으로 토큰 없이 실행되는 경우, 서비스에 도달할 수 있는 모든 네트워크 클라이언트가 이를 트리거할 수 있습니다. 토큰이 구성된 경우, 게시 권한이 있는 모든 사용자가 여전히 이를 악용할 수 있습니다. 이 취약점은 1.5.113에서 수정되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.