취약점  ·  2026-07-11

PraisonAI — 저장소 제어 구성으로 인한 output_file의 경로 순회 취약점 (CVSS 5.5)

취약점Medium 영향도GlobalCVE-2026-60089
1.6.78 이전의 PraisonAI (pip 패키지 praisonaiagents)는 Agent를 구성할 때 프로젝트 로컬 .praisonai/config.toml에서 기본값을 자동으로 로드하며, defaults.output.output_file 경로를 검증하지 않습니다. 저장소 제어 구성 파일은 output_file을 절대 경로 또는 '../' 순회 경로로 설정할 수 있으며, 이는 개발자가 agent.start()를 호출할 때 사용됩니다.
저장소의 구성 파일(예: 악의적인 PR 또는 공급망 기여를 통해)에 영향을 줄 수 있는 공격자는 피해 개발자가 에이전트를 실행할 때 PraisonAI 에이전트가 의도한 프로젝트 디렉터리 외부의 임의의 파일시스템 위치에 출력을 쓰도록 할 수 있습니다.
저장소의 악의적인 .praisonai/config.toml이 output_file을 절대 경로 또는 순회 경로로 설정하며, 개발자가 agent.start()를 실행할 때 악용됨
PraisonAI (pip 패키지 praisonaiagents) < 1.6.78
PraisonAI ≥1.6.78으로 업그레이드; 신뢰할 수 없는 저장소에 대해 에이전트를 실행하기 전에 저장소 로컬 구성 파일을 검토하십시오
GitHub commit
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →