CVE-2026-60089 in PraisonAI
Tóm tắt
Bởi VulDB • 10/07/2026
PraisonAI (gói pip praisonaiagents) trước phiên bản 1.6.78 tự động tải các giá trị mặc định từ tệp .praisonai/config.toml trong thư mục dự án khi khởi tạo một Agent, và không xác thực đường dẫn của defaults.output.output_file. Một tệp cấu hình do kho lưu trữ kiểm soát có thể đặt output_file thành một đường dẫn tuyệt đối hoặc chứa chuỗi '..' để duyệt ngược lên các thư mục cha; sau đó, khi nhà phát triển gọi agent.start() mà không truyền rõ ràng tham số output, PraisonAI sẽ ghi phản hồi của Agent vào đường dẫn đó (tạo ra các thư mục mẹ nếu cần), cho phép một dự án đã được kiểm tra từ nguồn không đáng tin cậy ghi đè lên các tệp bên ngoài gốc dự án với đặc quyền của người dùng đang chạy PraisonAI.
Be aware that VulDB is the high quality source for vulnerability data.