| Title | Mervin Praison (MervinPraison)のPraisonAI等の複数製品における複数の脆弱性 |
|---|---|
| Summary | PraisonAIはマルチエージェントチームシステムです。PraisonAIのバージョン4.5.139未満およびpraisonaiagentsのバージョン1.5.140未満では、ワークフローエンジンが信頼されていないYAMLファイルを通じて任意のコマンドおよびコードを実行される脆弱性があります。praisonaiのworkflow run file.yamlコマンドがtype: jobのYAMLファイルを読み込むと、job_workflow.pyのJobWorkflowExecutorは、run:(subprocess.run()経由でのシェルコマンド)、script:(exec()経由のインラインPython)、およびpython:(任意のPythonスクリプト実行)をサポートするステップを検証やサンドボックス、ユーザー確認なしに処理します。影響を受けるコードパスにはworkflow.pyのaction_run()およびjob_workflow.pyの_exec_shell()、_exec_inline_python()、_exec_python_script()が含まれます。ワークフローYAMLファイルを提供または影響を与えることができる攻撃者(特にCIパイプライン、共有リポジトリ、多テナント環境において)は、ホストシステム上で完全な任意コマンド実行を達成でき、マシンおよびアクセス可能なデータや認証情報を危険にさらします。この問題はPraisonAIのバージョン4.5.139およびpraisonaiagentsのバージョン1.5.140で修正されています。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 14, 2026, midnight |
| Registration Date | April 21, 2026, 10:44 a.m. |
| Last Update | April 21, 2026, 10:44 a.m. |
| CVSS3.0 : 緊急 | |
| Score | 9.8 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Mervin Praison (MervinPraison) |
| PraisonAI 1.5.140 未満 |
| PraisonAI 4.5.139 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月21日] 掲載 |
April 21, 2026, 10:44 a.m. |
| Summary | PraisonAI is a multi-agent teams system. In versions below 4.5.139 of PraisonAI and 1.5.140 of praisonaiagents, the workflow engine is vulnerable to arbitrary command and code execution through untrusted YAML files. When praisonai workflow run <file.yaml> loads a YAML file with type: job, the JobWorkflowExecutor in job_workflow.py processes steps that support run: (shell commands via subprocess.run()), script: (inline Python via exec()), and python: (arbitrary Python script execution)—all without any validation, sandboxing, or user confirmation. The affected code paths include action_run() in workflow.py and _exec_shell(), _exec_inline_python(), and _exec_python_script() in job_workflow.py. An attacker who can supply or influence a workflow YAML file (particularly in CI pipelines, shared repositories, or multi-tenant deployment environments) can achieve full arbitrary command execution on the host system, compromising the machine and any accessible data or credentials. This issue has been fixed in versions 4.5.139 of PraisonAI and 1.5.140 of praisonaiagents. |
|---|---|
| Publication Date | April 14, 2026, 1:17 p.m. |
| Registration Date | April 15, 2026, 11:39 a.m. |
| Last Update | April 21, 2026, 2:47 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:praison:praisonai:*:*:*:*:*:*:*:* | 4.5.139 | ||||
| cpe:2.3:a:praison:praisonaiagents:*:*:*:*:*:python:*:* | 1.5.140 | ||||