CVE-2026-60089 in PraisonAI
요약
\~에 의해 VulDB • 2026. 07. 10.
PraisonAI(pip 패키지 praisonaiagents) 1.6.78 이전 버전은 에이전트를 생성할 때 프로젝트 로컬 .praisonai/config.toml에서 기본값을 자동으로 로드하며, defaults.output.output_file 경로를 검증하지 않습니다. 저장소 제어 구성 파일이 output_file에 절대 경로 또는 '..' 트래버설 경로를 설정하면, 개발자가 명시적으로 출력 매개변수를 전달하지 않고 agent.start()를 호출할 때 PraisonAI는 해당 경로(필요한 경우 상위 디렉토리를 생성함)로 에이전트 응답을 작성하여 신뢰할 수 없는 체크아웃된 프로젝트가 PraisonAI를 실행하는 사용자의 권한으로 프로젝트 루트 외부의 파일을 덮어쓸 수 있습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.