취약점  ·  2026-07-13

PraisonAI AgentMail 웹훅 서명 검증 우회는 메시지 위조를 활성화합니다

취약점Medium 영향도GlobalCVE-2026-61428
PraisonAI의 AgentMail 컴포넌트(4.6.78 이전)는 서명되지 않은 웹훅 페이로드를 수락하여 공격자가 에이전트가 합법적인 것으로 처리할 임의의 발신자 ID로 인바운드 이메일/메시지 이벤트를 위조할 수 있습니다.
이는 위조된 '신뢰할 수 있는' 발신자를 통한 간접 프롬프트 주입을 활성화하여 공격자가 이메일 기반 에이전트 워크플로우에서 합법적인 특파원을 가장함으로써 에이전트 동작을 조작하고(예: 재무 또는 데이터 유출 작업 트리거) 에이전트 동작을 조작할 수 있습니다.
PraisonAI AgentMail의 웹훅 모드는 서명 검증이 없어서 인증되지 않은 공격자가 위조된 발신자 주소가 있는 message.received 이벤트를 웹훅 엔드포인트에 직접 POST할 수 있으며, 임의의 콘텐츠를 에이전트의 처리 파이프라인에 주입합니다.
PraisonAI AgentMail 4.6.78 이전
PraisonAI를 4.6.78 이상으로 업그레이드하고, 인바운드 메시지 이벤트를 처리하기 전에 웹훅 서명/HMAC 검증을 적용하십시오.
NVD CVE-2026-61428 (lead)HackerFeeds
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →