취약점  ·  2026-07-17

PraisonAI — Call API Agent 호출 인증 우회 (인증 비활성화 플래그 잘못 설정)

취약점High 영향도GlobalCVE-2026-61435
PraisonAI의 Call API agent-invocation 엔드포인트는 인증 비활성화 보안 조치가 localhost로의 접근을 제한하려고 했음에도 불구하고, 잘못된 bind-host 파생 로직으로 인해 원격으로 접근될 수 있었습니다.
이로 인해 localhost 전용 보안 조치로 보호되었다고 믿었던 배포에서 인증 없이 PraisonAI 에이전트를 원격으로 호출할 수 있으며, 에이전트 기능과 연결된 모든 도구/데이터가 개방형 네트워크에 노출됩니다.
비활성화된 인증 옵트아웃을 localhost 바인딩으로 제한하기 위한 보안 조치가 bind host를 잘못 파생시켜, 운영자가 비활성화된 인증 모드가 localhost 전용이라고 생각했을 때에도 agent invocation 엔드포인트가 네트워크를 통해 도달 가능한 상태로 유지될 수 있었습니다.
PraisonAI 4.6.78 이전 버전
PraisonAI 4.6.78 이상으로 업그레이드하십시오. 네트워크에 노출된 배포에서 PRAISONAI_CALL_AUTH=disabled를 피하십시오.
NVD CVE-2026-61435
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →