CVE-2026-61441 in PraisonAI
Sumário
de VulDB • 10/07/2026
A plataforma PraisonAI (praisonai-platform) anterior à versão 0.1.9 autoriza incorretamente a exclusão de dependências de issues. A rota DELETE para dependências aceita qualquer extremidade de uma aresta de dependência e verifica as permissões de exclusão apenas contra o issue selecionado na URL pelo chamador. Um membro do espaço de trabalho que não consegue excluir uma dependência por meio de um endpoint criado por um proprietário (que retorna 403) pode excluir a mesma aresta de dependência direcionando-se para um endpoint relacionado pertencente a outro membro, pois as permissões são validadas contra o proprietário da issue pertencente ao membro. Isso permite que os membros contornem a autorização do proprietário/administrador e removam dependências de issues criadas pelo proprietário.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.