技术说明
在PraisonAI(一个开源多智能体团队系统)中披露了四个关键和高严重性漏洞集群。CVE-2026-41497(CVSS 9.8)允许通过MCP命令处理执行任意命令,无需允许列表或参数验证。CVE-2026-44336(CVSS 9.6)通过MCP文件处理工具中的路径遍历实现任意文件读/写。CVE-2026-44334(CVSS 8.4)通过利用遗漏的导入sink绕过CVE-2026-40287的修复。CVE-2026-44339(CVSS 8.6)通过针对模块全局变量的未验证工具名称解析允许任意代码执行。
攻击途径
攻击者可以制作恶意MCP命令或工具调用,利用PraisonAI智能体编排层中不充分的输入验证。例如,CVE-2026-41497允许通过parse_mcp_command()直接传递带有内联代码执行标志的可执行文件如bash或python。CVE-2026-44336在praisonai.rules.create和类似工具中接受未清理的文件路径,启用目录遍历和任意文件操作。
受影响系统
PraisonAI版本早于4.6.9(CVE-2026-41497)、4.6.32(CVE-2026-44334)、4.6.34(CVE-2026-44336)和4.6.37(CVE-2026-44339)。PraisonAI用于研究和企业原型中的多智能体协调和工作流自动化。
缓解措施
升级到最新的PraisonAI版本:针对CVE-2026-41497升级到4.6.9+,针对CVE-2026-44334升级到4.6.32+,针对CVE-2026-44336升级到4.6.34+,针对CVE-2026-44339升级到4.6.37+。在生产环境中使用PraisonAI的组织应立即对智能体可访问的工具和文件系统路径进行安全审查,对MCP命令强制执行严格的允许列表,并对智能体执行环境进行沙箱化。