무슨 일이 있었나
PraisonAI의 AG-UI 프로토콜용 POST /agui 엔드포인트는 어떤 인증도 없으며 와일드카드 CORS 정책(Access-Control-Allow-Origin: *)을 하드코딩합니다. Starlette가 Content-Type에 관계없이 JSON을 파싱하기 때문에 공격자는 CORS 프리플라이트를 완전히 우회하는 단순 교차 출처 요청을 작성하여 임의의 에이전트 실행을 원격으로 트리거하고 민감한 응답 데이터를 수신할 수 있습니다. 2026-06-18 공개, CVSS 8.1 HIGH.
왜 중요한가
미인증 원격 에이전트 호출은 중대한 에이전트 공격입니다: 모든 웹사이트는 교차 사이트 요청을 통해 피해자의 PraisonAI 인스턴스에 대한 에이전트 실행을 자동으로 트리거하고 사용자의 지식 없이 도구 실행 결과 및 환경 변수를 유출할 수 있습니다. 이는 교차 출처 에이전트 하이잭 공격 클래스의 실제 구현입니다.
공격 경로
원격 공격자가 /agui 엔드포인트로 작성된 교차 출처 POST 요청을 보냅니다. 엔드포인트에는 인증이 없으며 Access-Control-Allow-Origin: * 헤더를 하드코딩합니다. Starlette의 Content-Type 무관 JSON 파싱과 결합되어 공격자는 단순 요청(프리플라이트 트리거 안 함)을 통해 CORS 프리플라이트를 우회하여 임의의 에이전트 실행을 야기하고 환경 비밀을 포함한 도구 출력을 유출할 수 있습니다.
영향받는 시스템
PraisonAI < 1.5.128
완화 방안
PraisonAI 1.5.128 이상으로 업그레이드하세요. 권고사항: https://github.com/MervinPraison/PraisonAI/security/advisories/GHSA-x462-jjpc-q4q4