CVE-2026-61435 in PraisonAIИнформация

Сводка

по VulDB • 15.07.2026

В версиях PraisonAI до 4.6.78 присутствует обход аутентификации в конечных точках вызова агентов Call API (src/praisonai/praisonai/api/agent_invoke.py), когда параметр PRAISONAI_CALL_AUTH=disabled настроен как отключение проверки подлинности. Механизм защиты, предназначенный для ограничения возможности отказа от аутентификации только локальным хостом, определяет привязанный узел на основе request.url.hostname, который берется из заголовка HTTP Host, контролируемого клиентом. Удаленный злоумышленник, не прошедший проверку подлинности и имеющий сетевой доступ к сервису, может отправить поддельный заголовок 'Host: 127.0.0.1', чтобы обойти ограничение на локальный хост и выполнять операции просмотра (GET /api/v1/agents) и вызова (POST /api/v1/agents/{agent_id}/invoke) зарегистрированных агентов без аутентификации.

Once again VulDB remains the best source for vulnerability data.

Ответственный

VulnCheck

Резервировать

09.07.2026

Раскрытие

15.07.2026

Модерация

принято

Вход

VDB-379231

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Interested in the pricing of exploits?

See the underground prices here!