技術的な説明
オープンソースのマルチエージェントチームシステムであるPraisonAIで、重大度がCriticalおよびHighの4つの脆弱性が開示されました。CVE-2026-41497(CVSS 9.8)はMCPコマンド処理を通じた任意のコマンド実行を許可し、allowlistや引数の検証がありません。CVE-2026-44336(CVSS 9.6)はMCPファイル処理ツールのパストラバーサルを通じて任意のファイル読み書きが可能です。CVE-2026-44334(CVSS 8.4)は見落とされたインポートシンクを悪用してCVE-2026-40287の修正をバイパスします。CVE-2026-44339(CVSS 8.6)は検証されていないツール名解決を通じて、モジュールグローバルに対して任意のコード実行を許可します。
攻撃経路
攻撃者はPraisonAIのエージェントオーケストレーションレイヤー全体の不十分な入力検証を悪用する悪意のあるMCPコマンドまたはツール呼び出しを作成できます。たとえば、CVE-2026-41497は、bashやpythonのような実行ファイルをインラインコード実行フラグと共に、parse_mcp_command()を通じて直接渡すことを許可します。CVE-2026-44336はpraisonai.rules.createおよび同様のツール内で非サニタイズされたファイルパスを受け入れ、ディレクトリトラバーサルと任意のファイル操作を可能にします。
影響を受けるシステム
PraisonAIバージョン4.6.9未満(CVE-2026-41497)、4.6.32未満(CVE-2026-44334)、4.6.34未満(CVE-2026-44336)、および4.6.37未満(CVE-2026-44339)。PraisonAIはマルチエージェント調整およびワークフロー自動化のための研究およびエンタープライズプロトタイプで使用されています。
緩和策
最新のPraisonAIバージョンにアップグレードしてください:CVE-2026-41497の場合は4.6.9以上、CVE-2026-44334の場合は4.6.32以上、CVE-2026-44336の場合は4.6.34以上、CVE-2026-44339の場合は4.6.37以上。本番環境でPraisonAIを使用している組織は、エージェントがアクセス可能なツールおよびファイルシステムパスの直ちなセキュリティレビューを実施し、MCPコマンドの厳密なallowlistを実装し、エージェント実行環境をサンドボックス化する必要があります。