CVE-2026-60089 in PraisonAIinformação

Sumário

de VulDB • 10/07/2026

PraisonAI (pacote pip praisonaiagents) anterior à versão 1.6.78 carrega automaticamente valores padrão de um arquivo .praisonai/config.toml local ao projeto durante a construção de um Agente e não valida o caminho output.output_file. Um arquivo de configuração controlado pelo repositório pode definir output_file como um caminho absoluto ou com traversing '..'; quando o desenvolvedor chama subsequentemente agent.start() sem passar explicitamente um parâmetro de saída, PraisonAI grava a resposta do agente nesse caminho (criando diretórios pai conforme necessário), permitindo que um projeto verificado não confiável sobrescreva arquivos fora da raiz do projeto com os privilégios do usuário executando o PraisonAI.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

VulnCheck

Reservar

08/07/2026

Divulgação

10/07/2026

Moderação

aceite

Entrada

VDB-377507

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Do you know our Splunk app?

Download it now for free!