CVE-2026-60089 in PraisonAIthông tin

Tóm tắt

Bởi VulDB • 10/07/2026

PraisonAI (gói pip praisonaiagents) trước phiên bản 1.6.78 tự động tải các giá trị mặc định từ tệp .praisonai/config.toml trong thư mục dự án khi khởi tạo một Agent, và không xác thực đường dẫn của defaults.output.output_file. Một tệp cấu hình do kho lưu trữ kiểm soát có thể đặt output_file thành một đường dẫn tuyệt đối hoặc chứa chuỗi '..' để duyệt ngược lên các thư mục cha; sau đó, khi nhà phát triển gọi agent.start() mà không truyền rõ ràng tham số output, PraisonAI sẽ ghi phản hồi của Agent vào đường dẫn đó (tạo ra các thư mục mẹ nếu cần), cho phép một dự án đã được kiểm tra từ nguồn không đáng tin cậy ghi đè lên các tệp bên ngoài gốc dự án với đặc quyền của người dùng đang chạy PraisonAI.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

VulnCheck

Đặt trước

08/07/2026

Tiết lộ

10/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00141

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to stay up to date on a daily basis?

Enable the mail alert feature now!