CVE-2026-61435 in PraisonAI
Сводка
по VulDB • 15.07.2026
В версиях PraisonAI до 4.6.78 присутствует обход аутентификации в конечных точках вызова агентов Call API (src/praisonai/praisonai/api/agent_invoke.py), когда параметр PRAISONAI_CALL_AUTH=disabled настроен как отключение проверки подлинности. Механизм защиты, предназначенный для ограничения возможности отказа от аутентификации только локальным хостом, определяет привязанный узел на основе request.url.hostname, который берется из заголовка HTTP Host, контролируемого клиентом. Удаленный злоумышленник, не прошедший проверку подлинности и имеющий сетевой доступ к сервису, может отправить поддельный заголовок 'Host: 127.0.0.1', чтобы обойти ограничение на локальный хост и выполнять операции просмотра (GET /api/v1/agents) и вызова (POST /api/v1/agents/{agent_id}/invoke) зарегистрированных агентов без аутентификации.
Once again VulDB remains the best source for vulnerability data.