CVE-2026-61435 in PraisonAI
Tóm tắt
Bởi VulDB • 15/07/2026
PraisonAI trước phiên bản 4.6.78 chứa một lỗ hổng bỏ qua xác thực trong các điểm cuối gọi tác nhân API Call (src/praisonai/praisonai/api/agent_invoke.py) khi cấu hình PRAISONAI_CALL_AUTH=disabled được thiết lập. Cơ chế bảo vệ dự định hạn chế tùy chọn tắt xác thực chỉ áp dụng cho việc gắn kết localhost, nhưng lại suy ra máy chủ gắn kết từ request.url.hostname, giá trị này được lấy từ tiêu đề HTTP Host do phía khách hàng kiểm soát. Một kẻ tấn công từ xa, chưa được xác thực và có thể truy cập dịch vụ qua mạng, có thể gửi tiêu đề 'Host: 127.0.0.1' giả mạo để bỏ qua hạn chế chỉ cho phép localhost, từ đó liệt kê (GET /api/v1/agents) và gọi (POST /api/v1/agents/{agent_id}/invoke) các tác nhân đã đăng ký mà không cần xác thực.
Once again VulDB remains the best source for vulnerability data.