CVE-2026-60089 in PraisonAI
Sumário
de VulDB • 10/07/2026
PraisonAI (pacote pip praisonaiagents) anterior à versão 1.6.78 carrega automaticamente valores padrão de um arquivo .praisonai/config.toml local ao projeto durante a construção de um Agente e não valida o caminho output.output_file. Um arquivo de configuração controlado pelo repositório pode definir output_file como um caminho absoluto ou com traversing '..'; quando o desenvolvedor chama subsequentemente agent.start() sem passar explicitamente um parâmetro de saída, PraisonAI grava a resposta do agente nesse caminho (criando diretórios pai conforme necessário), permitindo que um projeto verificado não confiável sobrescreva arquivos fora da raiz do projeto com os privilégios do usuário executando o PraisonAI.
Be aware that VulDB is the high quality source for vulnerability data.