製品・ソフトウェアに関する情報

JVN脆弱性詳細

Mervin Praison (MervinPraison)のPraisonAI等の複数製品における重要な機能に対する認証の欠如に関する脆弱性

タイトル	Mervin Praison (MervinPraison)のPraisonAI等の複数製品における重要な機能に対する認証の欠如に関する脆弱性
概要	PraisonAIはマルチエージェントチームシステムです。PraisonAIのバージョン4.5.139未満およびpraisonaiagentsのバージョン1.5.140未満には、ブラウザブリッジ（praisonai browser start）に認証の欠如と/ ws WebSocketエンドポイントで回避可能なオリジンチェックの脆弱性があり、認証されていないリモートセッションハイジャックが可能です。サーバーはデフォルトで0.0.0.0にバインドされており、Originヘッダーが存在する場合にのみ検証されるため、ヘッダーを省略するブラウザ以外のクライアントは制限なく受け入れられます。認証されていないネットワーク攻撃者は接続してstart_sessionメッセージを送信でき、サーバーはそれを最初のアイドル状態のブラウザ拡張機能WebSocketにルーティングします（事実上そのセッションをハイジャックします）。結果として、すべての自動化アクションと出力が攻撃者にブロードキャストされます。これにより、接続されたブラウザ自動化セッションの不正なリモート制御、機密ページコンテキストおよび自動化結果の漏洩、モデル支援のブラウザアクションの不正使用が、ブリッジがネットワークで到達可能な環境で可能になります。この問題はPraisonAIのバージョン4.5.139およびpraisonaiagentsのバージョン1.5.140で修正されました。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月14日0:00
登録日	2026年4月21日10:44
最終更新日	2026年4月21日10:44

CVSS3.0 : 緊急
スコア	9.1
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

影響を受けるシステム

Mervin Praison (MervinPraison)

PraisonAI 1.5.140 未満

PraisonAI 4.5.139 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-40289	https://www.cve.org/CVERecord?id=CVE-2026-40289
National Vulnerability Database (NVD)
2	CVE-2026-40289	https://nvd.nist.gov/vuln/detail/CVE-2026-40289

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-306	https://cwe.mitre.org/data/definitions/306.html

ベンダー情報

No	名前	URL
GitHub
1	PraisonAI Browser Server allows unauthenticated WebSocket clients to hijack connected extension sessions Advisory MervinPraison/PraisonAI GitHub	https://github.com/MervinPraison/PraisonAI/security/advisories/GHSA-8x8f-54wf-vv92

変更履歴

No	変更内容	変更日
1	[2026年04月21日] 掲載	2026年4月21日10:44

NVD脆弱性情報

CVE-2026-40289

概要	PraisonAI is a multi-agent teams system. In versions below 4.5.139 of PraisonAI and 1.5.140 of praisonaiagents, the browser bridge (praisonai browser start) is vulnerable to unauthenticated remote session hijacking due to missing authentication and a bypassable origin check on its /ws WebSocket endpoint. The server binds to 0.0.0.0 by default and only validates the Origin header when one is present, meaning any non-browser client that omits the header is accepted without restriction. An unauthenticated network attacker can connect, send a start_session message, and the server will route it to the first idle browser-extension WebSocket (effectively hijacking that session) and then broadcast all resulting automation actions and outputs back to the attacker. This enables unauthorized remote control of connected browser automation sessions, leakage of sensitive page context and automation results, and misuse of model-backed browser actions in any environment where the bridge is network-reachable. This issue has been fixed in versions 4.5.139 of PraisonAI and 1.5.140 of praisonaiagents.
公表日	2026年4月14日13:17
登録日	2026年4月15日11:39
最終更新日	2026年4月21日2:46

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:praison:praisonai::::::::				4.5.139
cpe:2.3:a:praison:praisonaiagents::::::python::*				1.5.140