Apa yang terjadi
Endpoint POST /agui PraisonAI untuk protokol AG-UI tidak memiliki autentikasi apa pun dan hardcode kebijakan CORS wildcard (Access-Control-Allow-Origin: *). Karena Starlette menguraikan JSON terlepas dari Content-Type, penyerang dapat membuat permintaan cross-origin sederhana yang melewati preflight CORS sepenuhnya, secara jarak jauh memicu eksekusi agen sewenang-wenang dan menerima data respons sensitif. Dipublikasikan 2026-06-18, CVSS 8.1 HIGH.
Mengapa penting
Invokasi agen jarak jauh tanpa autentikasi adalah serangan agen kritis: situs web apa pun dapat secara diam-diam memicu penjalankan agen terhadap instans PraisonAI korban melalui permintaan lintas situs, mengekstrak hasil eksekusi alat dan variabel lingkungan tanpa pengetahuan pengguna. Ini adalah implementasi dunia nyata dari kelas serangan cross-origin agent hijack.
Vektor serangan
Penyerang jarak jauh mengirimkan permintaan POST cross-origin yang dirancang ke endpoint /agui. Endpoint tidak memiliki autentikasi dan hardcode header Access-Control-Allow-Origin: *. Dikombinasikan dengan penguraian JSON agnostik Content-Type Starlette, penyerang dapat melewati preflight CORS melalui permintaan sederhana (tidak ada preflight yang dipicu), menyebabkan eksekusi agen sewenang-wenang dan mengekstrak keluaran alat termasuk rahasia lingkungan.
Sistem yang terdampak
PraisonAI < 1.5.128
Mitigasi
Upgrade ke PraisonAI 1.5.128 atau lebih baru. Penasihat: https://github.com/MervinPraison/PraisonAI/security/advisories/GHSA-x462-jjpc-q4q4