취약점  ·  2026-07-13

PraisonAI AICoder LLM 도구 호출을 통한 임의 파일 쓰기 및 명령 실행

취약점High 영향도GlobalCVE-2026-61445
PraisonAI 4.6.78 이전(CVSS 9.9 Critical)은 LLM 지향 도구 호출에 대한 경로/명령 검증이 없어 채팅 인터페이스 프롬프트 주입을 통해 임의 파일 쓰기 및 루트 수준 명령 실행을 허용합니다.
이는 원격 공격자에게 채팅 입력을 조작하기만 해서 PraisonAI의 AICoder를 실행하는 모든 호스트에서 루트 수준 코드 실행을 제공합니다. 널리 설치된 AI 에이전트 프레임워크에 영향을 미치는 심각하고 직접 익스플로잇 가능한 에이전트 도구 호출 결함입니다.
AICoder 컴포넌트의 LLM 도구 호출에서 경로 검증 및 명령 살균이 없으면 공격자가 채팅 인터페이스를 통해 악성 프롬프트를 주입하여 파일을 임의 파일시스템 위치에 쓰고 루트 권한으로 임의 셸 명령을 실행할 수 있습니다.
PraisonAI 4.6.78 이전
PraisonAI를 4.6.78 이상으로 업그레이드하고, LLM이 생성한 모든 파일 경로 및 셸 명령 인수를 실행 전에 살균/검증하십시오.
GitHub Security Advisory GHSA-9mp3-24cc-77mgNVD CVE-2026-61445
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →