Kerentanan  ·  2026-07-17

PraisonAI — Bypass Otentikasi Invokasi Agen Call API Saat Flag Auth Disabled Salah Dikonfigurasi

KerentananHigh dampakGlobalCVE-2026-61435
Endpoint invokasi agen Call API PraisonAI dapat diakses dari jarak jauh meski safeguard auth-disabled dimaksudkan untuk membatasi akses ke localhost, karena logika derivasi bind-host yang tidak benar.
Ini memungkinkan invokasi agen PraisonAI yang tidak terotentikasi dari jarak jauh dalam deployment yang percaya mereka dilindungi oleh safeguard localhost-only, mengekspos kemampuan agen dan alat/data yang terhubung ke jaringan terbuka.
Safeguard yang dimaksudkan untuk membatasi disabled-auth opt-out ke binding localhost menurunkan bind host secara tidak benar, sehingga endpoint invokasi agen tetap dapat dijangkau melalui jaringan meski operator percaya mode disabled-auth adalah localhost-only.
PraisonAI sebelum 4.6.78
Upgrade ke PraisonAI 4.6.78 atau lebih baru; hindari PRAISONAI_CALL_AUTH=disabled dalam deployment yang terekspos jaringan.
NVD CVE-2026-61435
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →