기술 설명
약 7,100개의 GitHub 스타를 보유한 오픈소스 멀티에이전트 오케스트레이션 프레임워크인 PraisonAI는 기본적으로 인증이 비활성화된 레거시 Flask 기반 API 서버(src/praisonai/api_server.py)를 배포했습니다(AUTH_ENABLED = False, AUTH_TOKEN = None). check_auth() 헬퍼는 인증이 비활성화되면 항상 True를 반환하여 GET /agents와 POST /chat의 두 가지 보호된 경로가 설계상 개방형으로 작동하게 됩니다. 인터넷 접근이 가능한 모든 인스턴스는 인증되지 않은 에이전트 워크플로우 접근을 허용했습니다. GitHub 권고 GHSA-6rmh-7xcm-cpxj는 2026년 5월 11일 13:56 UTC에 게시되었습니다. Sysdig는 146.190.133.49에서 17:32 UTC의 첫 번째 표적 정찰(일반 경로)을 관찰했으며, 17:40 UTC에 PraisonAI 특정 엔드포인트(/api/agents, /api/agents/config)로 전환했습니다. 공개 후 3시간 44분이 지난 시점입니다. 스캐너는 자신을 'CVE-Detector/1.0'으로 식별했습니다.
공격 경로
에이전트 워크플로우 트리거 엔드포인트에 대한 인증되지 않은 원격 접근입니다. 공격자는 /agents에 GET 요청을 보내 구성된 워크플로우를 열거하고 /chat에 POST 요청을 보내 유효한 인증 토큰 없이 임의의 에이전트 워크플로우를 실행할 수 있습니다. 영향 범위는 운영자가 에이전트 워크플로우에 부여한 권한(클라우드 자격증명, API 접근, 데이터베이스 조작 포함 가능)에 의해 결정됩니다.
영향받는 시스템
PraisonAI 버전 2.5.6부터 4.6.33까지입니다. 이 결함은 레거시 api_server.py 진입점을 사용하고 네트워크 접근에 노출된 모든 배포에 영향을 미칩니다. 인터넷 공개 PraisonAI 인스턴스를 실행하거나 내부 환경에서 레거시 API 서버를 사용하는 조직은 노출되었다고 가정해야 합니다.
완화 방안
PraisonAI 버전 4.6.34 이상으로 업그레이드하세요. 이 버전은 취약한 레거시 API 서버를 제거하고 더 강력한 인증 보호를 도입합니다. 레거시 api_server.py 진입점의 사용을 완전히 중단하세요. 'CVE-Detector/1.0' 사용자 에이전트 문자열과 /agents, /chat, /api/agents 및 관련 MCP 엔드포인트를 대상으로 하는 의심스러운 트래픽이 포함된 요청을 모니터링하세요. 업그레이드가 불가능할 때까지 API 서버 접근을 제한하기 위해 네트워크 계층 제어를 구현하세요. 이 우회는 애플리케이션 로그에서 인증 누락 신호를 남기지 않습니다.