漏洞  ·  2026-07-17

PraisonAI — Call API 代理调用身份验证绕过(当 Auth Disabled 标志配置错误时)

漏洞High 影响GlobalCVE-2026-61435
PraisonAI 的 Call API 代理调用端点即使在 auth-disabled 保护措施旨在限制访问到 localhost 时也可以远程访问,由于绑定主机推导逻辑不正确。
这允许在认为受 localhost 唯一保护措施保护的部署中对 PraisonAI 代理进行未经身份验证的远程调用,将代理功能和任何连接的工具/数据暴露给开放网络。
旨在限制 disabled-auth 选择退出到 localhost 绑定的保护措施推导绑定主机时出现错误,因此即使在操作人员认为 disabled-auth 模式仅限于 localhost 时,代理调用端点也可能在网络上保持可访问。
PraisonAI 4.6.78 之前的版本
升级到 PraisonAI 4.6.78 或更高版本;在暴露于网络的部署中避免使用 PRAISONAI_CALL_AUTH=disabled。
NVD CVE-2026-61435
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →