脆弱性  ·  2026-07-17

PraisonAI — Call API Agent Invocation Authentication Bypass When Auth Disabled Flag Misconfigured

脆弱性High 影響度GlobalCVE-2026-61435
PraisonAIのCall APIエージェント呼び出しエンドポイントは、auth-disabledセーフガードがlocalhostへのアクセスを制限することを意図していたにもかかわらず、バインドホスト導出ロジックの不正により、リモートからアクセス可能であった。
これにより、localhostのみのセーフガードによって保護されていると信じていたデプロイメントで、認証なしでPraisonAIエージェントのリモート呼び出しが可能になり、エージェント機能および接続されているすべてのツール/データがオープンネットワークに公開される。
disabled-authオプトアウトをlocalhostバインディングに制限することを意図したセーフガードが、バインドホストを誤って導出したため、オペレータがdisabled-authモードがlocalhostのみと信じていた場合でも、エージェント呼び出しエンドポイントはネットワーク経由でアクセス可能なままであった。
PraisonAI 4.6.78より前のバージョン
PraisonAI 4.6.78以降にアップグレードしてください。ネットワーク公開デプロイメントではPRAISONAI_CALL_AUTH=disabledを避けてください。
NVD CVE-2026-61435
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →