技術的な説明
約7,100のGitHubスターを持つオープンソースのマルチエージェントオーケストレーションフレームワークであるPraisonAIは、認証が無効にされた状態がデフォルト(AUTH_ENABLED = False、AUTH_TOKEN = None)であるレガシーFlaskベースのAPIサーバー(src/praisonai/api_server.py)を搭載していました。check_auth()ヘルパーは認証が無効な場合は常にTrueを返し、2つの保護されたルート—GET /agentsおよびPOST /chat—が設計上オープンに失敗します。インターネット到達可能なインスタンスは、認証なしでエージェントワークフローへのアクセスを許可していました。GitHubアドバイザリGHSA-6rmh-7xcm-cpxjは2026年5月11日13:56 UTC に発行されました。Sysdigは146.190.133.49からの最初の標的化されたレコネサンス(一般的なパス)を17:32 UTCで観測し、2026年5月11日17:40 UTC(開示から3時間44分)でPraisonAI固有のエンドポイント(/api/agents、/api/agents/config)へのピボットを確認しました。スキャナーは自身を「CVE-Detector/1.0」として識別しました。
攻撃経路
エージェントワークフロートリガーエンドポイントへの認証なしのリモートアクセス。攻撃者は/agentsへのGETリクエストを送信して設定済みワークフローを列挙し、/chatへのPOSTリクエストを送信して有効な認証トークンを提供することなく任意のエージェントワークフローを実行できます。影響の上限は、オペレーターがエージェントワークフローに付与した権限によって決定されます—クラウド認証情報、APIアクセス、またはデータベース操作の可能性があります。
影響を受けるシステム
PraisonAIバージョン2.5.6から4.6.33。この脆弱性は、レガシーapi_server.pyエントリポイントを使用し、ネットワークアクセスに露出している任意のデプロイメントに影響します。インターネット向けのPraisonAIインスタンスを実行している、またはレガシーAPIサーバーを内部環境で使用している組織は、露出していると想定する必要があります。
緩和策
PraisonAIバージョン4.6.34以降にアップグレードしてください。これは脆弱なレガシーAPIサーバーを削除し、より強力な認証保護を導入します。レガシーapi_server.pyエントリポイントの使用を完全に中止してください。「CVE-Detector/1.0」ユーザーエージェント文字列を含むリクエストと/agents、/chat、/api/agents、および関連するMCPエンドポイントを標的とする疑わしいトラフィックを監視してください。アップグレードが可能になるまで、バイパスがアプリケーションログに認証欠落シグナルを残さないため、ネットワークレイヤー制御を実装してAPIサーバーへのアクセスを制限してください。