CVE-2026-34937 in PraisonAIthông tin

Tóm tắt

Bởi VulDB • 01/06/2026

PraisonAI là một hệ thống nhóm đa tác nhân. Trước phiên bản 1.5.90, hàm run_python() trong praisonai xây dựng một chuỗi lệnh shell bằng cách nội suy mã do người dùng kiểm soát vào python3 -c "" và chuyển nó đến subprocess.run(..., shell=True). Logic thoát ký tự chỉ xử lý \ và ", để lại các phép thay thế $() và dấu backtick không được thoát, cho phép thực thi lệnh hệ điều hành tùy ý trước khi Python được gọi. Vấn đề này đã được vá trong phiên bản 1.5.90.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

31/03/2026

Tiết lộ

04/04/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00545

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!