| Title | Mervin Praison (MervinPraison)のPraisonAIにおける複数の脆弱性 |
|---|---|
| Summary | PraisonAIはマルチエージェントチームシステムです。バージョン4.6.37以前では、すべてのレシピプル、レシピ公開、およびレシピ展開のフローで通過する_safe_extractallヘルパーは、アーカイブメンバーの名前に対して絶対パスや「..」セグメント、解決済みパスの逸脱を検証しますが、member.linknameを検証せず、シンボリックリンクやハードリンクのメンバーを拒否しません。また、tar.extractall(dest_dir)をfilter="data"なしで呼び出します。シンボリックリンクの名前がdest_dir内にありながらlinknameが外部を指しているバンドルが存在し、その後にそのシンボリックリンクを経由するパスの通常ファイルが続く場合、dest_dirの外に抜け出してしまい、攻撃者が被害者のファイルシステム上の攻撃者指定の場所に任意の内容を書き込むことが可能となります。この問題はバージョン4.6.37で修正されました。 |
| Possible impacts | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 8, 2026, midnight |
| Registration Date | May 11, 2026, 11:04 a.m. |
| Last Update | May 11, 2026, 11:04 a.m. |
| CVSS3.0 : 重要 | |
| Score | 7.5 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
| Mervin Praison (MervinPraison) |
| PraisonAI 4.6.37 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月11日] 掲載 |
May 11, 2026, 11:04 a.m. |
| Summary | PraisonAI is a multi-agent teams system. Prior to version 4.6.37, the _safe_extractall helper that all recipe pull, recipe publish, and recipe unpack flows route through validates each archive member's name for absolute paths, .. segments, and resolved-path escape — but does not validate member.linkname, does not reject symlink/hardlink members, and calls tar.extractall(dest_dir) without filter="data". A bundle that contains a symlink with a name inside dest_dir but a linkname pointing outside it, followed by a regular file whose path traverses through the just-created symlink, escapes dest_dir and lets the attacker write arbitrary content to an attacker-chosen location on the victim's filesystem. This issue has been patched in version 4.6.37. |
|---|---|
| Publication Date | May 8, 2026, 11:16 p.m. |
| Registration Date | May 9, 2026, 4:13 a.m. |
| Last Update | May 9, 2026, 12:53 a.m. |