事件经过
PraisonAI 的 POST /agui 端点用于 AG-UI 协议,缺乏任何身份验证,并硬编码通配符 CORS 策略(Access-Control-Allow-Origin: *)。由于 Starlette 无论 Content-Type 如何都解析 JSON,攻击者可以制作简单的跨源请求,绕过 CORS 预检,远程触发任意代理执行并接收敏感响应数据。发布于 2026-06-18,CVSS 8.1 HIGH。
影响分析
未认证的远程代理调用是一种关键的代理攻击:任何网站都可以通过跨站请求静默触发受害者 PraisonAI 实例上的代理运行,外泄工具执行结果和环境变量,而用户毫不知情。这是跨源代理劫持攻击类别的真实实现。
攻击途径
远程攻击者向 /agui 端点发送精心制作的跨源 POST 请求。该端点缺乏身份验证并硬编码 Access-Control-Allow-Origin: * 标头。结合 Starlette 对 Content-Type 不可知的 JSON 解析,攻击者可以通过简单请求绕过 CORS 预检(不触发预检),导致任意代理执行和工具输出外泄,包括环境密钥。
受影响系统
PraisonAI < 1.5.128
缓解措施
升级到 PraisonAI 1.5.128 或更高版本。建议:https://github.com/MervinPraison/PraisonAI/security/advisories/GHSA-x462-jjpc-q4q4