| Title | Mervin Praison (MervinPraison)のPraisonAIにおける複数の脆弱性 |
|---|---|
| Summary | PraisonAIはマルチエージェントチームシステムです。バージョン4.5.128以前のPraisonAIのMCP(Model Context Protocol)統合では、ユーザーが提供するコマンド文字列(例:MCP("npx -y @smithery/cli ..."))を使用して、stdio経由でバックグラウンドサーバーを起動できました。これらのコマンドはPythonのsubprocessモジュールを通じて実行されます。デフォルトでは、実装は親プロセスの環境全体を生成されたサブプロセスに引き継いでいました。その結果、この方法で実行された任意のMCPコマンドは、APIキー、認証トークン、データベース認証情報などの機密データを含むホストプロセスのすべての環境変数を継承します。この動作は、信頼できないコマンドやサードパーティコマンドを使用する場合にセキュリティリスクを引き起こしました。npx -yのようなパッケージランナーを介してMCPツールが呼び出される一般的なシナリオでは、外部または潜在的に侵害されたパッケージの任意コードがこれらの継承された環境変数にアクセスして実行される可能性があります。これにより、意図しない認証情報の漏洩リスクが生じ、秘密情報の静かな流出を通じたサプライチェーン攻撃の可能性が高まりました。この脆弱性はバージョン4.5.128で修正されています。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 10, 2026, midnight |
| Registration Date | April 21, 2026, 10:44 a.m. |
| Last Update | April 21, 2026, 10:44 a.m. |
| CVSS3.0 : 警告 | |
| Score | 5.5 |
|---|---|
| Vector | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
| Mervin Praison (MervinPraison) |
| PraisonAI 4.5.128 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月21日] 掲載 |
April 21, 2026, 10:44 a.m. |
| Summary | PraisonAI is a multi-agent teams system. Prior to 4.5.128, PraisonAI’s MCP (Model Context Protocol) integration allows spawning background servers via stdio using user-supplied command strings (e.g., MCP("npx -y @smithery/cli ...")). These commands are executed through Python’s subprocess module. By default, the implementation forwards the entire parent process environment to the spawned subprocess. As a result, any MCP command executed in this manner inherits all environment variables from the host process, including sensitive data such as API keys, authentication tokens, and database credentials. This behavior introduces a security risk when untrusted or third-party commands are used. In common scenarios where MCP tools are invoked via package runners such as npx -y, arbitrary code from external or potentially compromised packages may execute with access to these inherited environment variables. This creates a risk of unintended credential exposure and enables potential supply chain attacks through silent exfiltration of secrets. This vulnerability is fixed in 4.5.128. |
|---|---|
| Publication Date | April 11, 2026, 2:17 a.m. |
| Registration Date | April 15, 2026, 11:36 a.m. |
| Last Update | April 21, 2026, 3:33 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:praison:praisonai:*:*:*:*:*:*:*:* | 4.5.128 | ||||