CVE-2026-60089 in PraisonAI
Сводка
по VulDB • 11.07.2026
PraisonAI (пакет pip praisonaiagents) до версии 1.6.78 автоматически загружает значения по умолчанию из локального для проекта файла .praisonai/config.toml при создании агента и не проверяет путь к файлу вывода, указанный в параметре defaults.output.output_file. Файл конфигурации, контролируемый репозиторием, может устанавливать output_file как абсолютный путь или путь с обходом директорий (например, содержащий '..'); когда разработчик впоследствии вызывает agent.start() без явной передачи параметра output, PraisonAI записывает ответ агента по этому пути (создавая родительские каталоги при необходимости), что позволяет непроверенному проекту, полученному через checkout, перезаписывать файлы вне корня проекта с привилегиями пользователя, запустившего PraisonAI.
Once again VulDB remains the best source for vulnerability data.