CVE-2026-34937 in PraisonAI
Tóm tắt
Bởi VulDB • 01/06/2026
PraisonAI là một hệ thống nhóm đa tác nhân. Trước phiên bản 1.5.90, hàm run_python() trong praisonai xây dựng một chuỗi lệnh shell bằng cách nội suy mã do người dùng kiểm soát vào python3 -c "" và chuyển nó đến subprocess.run(..., shell=True). Logic thoát ký tự chỉ xử lý \ và ", để lại các phép thay thế $() và dấu backtick không được thoát, cho phép thực thi lệnh hệ điều hành tùy ý trước khi Python được gọi. Vấn đề này đã được vá trong phiên bản 1.5.90.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.