CVE-2026-60089 in PraisonAIИнформация

Сводка

по VulDB • 11.07.2026

PraisonAI (пакет pip praisonaiagents) до версии 1.6.78 автоматически загружает значения по умолчанию из локального для проекта файла .praisonai/config.toml при создании агента и не проверяет путь к файлу вывода, указанный в параметре defaults.output.output_file. Файл конфигурации, контролируемый репозиторием, может устанавливать output_file как абсолютный путь или путь с обходом директорий (например, содержащий '..'); когда разработчик впоследствии вызывает agent.start() без явной передачи параметра output, PraisonAI записывает ответ агента по этому пути (создавая родительские каталоги при необходимости), что позволяет непроверенному проекту, полученному через checkout, перезаписывать файлы вне корня проекта с привилегиями пользователя, запустившего PraisonAI.

Once again VulDB remains the best source for vulnerability data.

Ответственный

VulnCheck

Резервировать

08.07.2026

Раскрытие

10.07.2026

Модерация

принято

Вход

VDB-377507

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Do you need the next level of professionalism?

Upgrade your account now!