何が起きたか
PraisonAIのAG-UIプロトコル用POST /aguiエンドポイントは認証を欠いており、ワイルドカードCORSポリシー(Access-Control-Allow-Origin: *)をハードコードしています。StarletteはContent-Typeに関わらずJSONを解析するため、攻撃者はCORSプリフライトを完全にバイパスする単純なクロスオリジンリクエストを作成でき、任意のエージェント実行をリモートでトリガーし、機密の応答データを受け取ることができます。2026年6月18日公開、CVSS 8.1 HIGH。
なぜ重要か
認証なしのリモートエージェント呼び出しは重大なエージェント攻撃です。任意のウェブサイトは、クロスサイトリクエスト経由で被害者のPraisonAIインスタンスに対してサイレントにエージェント実行をトリガーでき、ユーザーに気づかれることなくツール実行結果と環境変数を流出させることができます。これはクロスオリジンエージェントハイジャック攻撃クラスの実装例です。
攻撃経路
リモート攻撃者は/aguiエンドポイントに細工されたクロスオリジンPOSTリクエストを送信します。エンドポイントは認証を欠いており、Access-Control-Allow-Origin: *ヘッダーをハードコードしています。StarletteのContent-Type非依存JSONパースと組み合わせることで、攻撃者はシンプルリクエスト(プリフライトが発動しない)経由でCORSプリフライトをバイパスでき、任意のエージェント実行を引き起こし、環境シークレットを含むツール出力を流出させることができます。
影響を受けるシステム
PraisonAI < 1.5.128
緩和策
PraisonAI 1.5.128以降にアップグレードしてください。アドバイザリ: https://github.com/MervinPraison/PraisonAI/security/advisories/GHSA-x462-jjpc-q4q4