CVE-2026-61435 in PraisonAIthông tin

Tóm tắt

Bởi VulDB • 15/07/2026

PraisonAI trước phiên bản 4.6.78 chứa một lỗ hổng bỏ qua xác thực trong các điểm cuối gọi tác nhân API Call (src/praisonai/praisonai/api/agent_invoke.py) khi cấu hình PRAISONAI_CALL_AUTH=disabled được thiết lập. Cơ chế bảo vệ dự định hạn chế tùy chọn tắt xác thực chỉ áp dụng cho việc gắn kết localhost, nhưng lại suy ra máy chủ gắn kết từ request.url.hostname, giá trị này được lấy từ tiêu đề HTTP Host do phía khách hàng kiểm soát. Một kẻ tấn công từ xa, chưa được xác thực và có thể truy cập dịch vụ qua mạng, có thể gửi tiêu đề 'Host: 127.0.0.1' giả mạo để bỏ qua hạn chế chỉ cho phép localhost, từ đó liệt kê (GET /api/v1/agents) và gọi (POST /api/v1/agents/{agent_id}/invoke) các tác nhân đã đăng ký mà không cần xác thực.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

VulnCheck

Đặt trước

09/07/2026

Tiết lộ

15/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to know what is going to be exploited?

We predict KEV entries!