CVE-2026-34936 CVSS 7.7 高危

CVE-2026-34936 PraisonAI服务器端请求伪造漏洞

披露日期: 2026-04-03

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34936

漏洞类型

服务器端请求伪造 (SSRF)

CVSS评分

7.7 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

PraisonAI

漏洞概述

PraisonAI是一个多代理团队系统。在4.5.90版本之前，该系统存在服务器端请求伪造（SSRF）漏洞。具体而言，`passthrough()`和`apassthrough()`函数接受调用者控制的`api_base`参数，并将其与端点连接后直接传递给`httpx.Client.request()`。由于缺乏URL方案验证、私有IP过滤或域名白名单机制，攻击者可以利用该漏洞向服务器可达的任何主机发起请求，包括内部网络资源。该问题已在4.5.90版本中修复。

技术细节

该漏洞的根本原因在于PraisonAI在处理API请求时，未对用户输入的`api_base`参数进行严格的校验和清洗。在`litellm`主路径抛出`AttributeError`异常的场景下，系统会调用`passthrough()`或`apassthrough()`函数作为备用路径。此时，攻击者控制的`api_base`会被直接拼接到目标端点，并用于初始化`httpx.Client`的请求。由于代码层面缺失了URL协议格式的验证、内网IP地址的过滤以及目标域名的白名单限制，攻击者可以构造包含内网地址（如127.0.0.1、169.254.169.254）或其他敏感服务地址的请求。利用此漏洞，攻击者可能探测内网端口、读取云元数据或攻击内部未授权的服务，从而实现SSRF攻击。

攻击链分析

STEP 1

侦察

攻击者识别出目标正在使用PraisonAI 4.5.90之前的版本。

STEP 2

漏洞利用

攻击者向应用程序发送特制请求，在`api_base`参数中注入内网地址（如127.0.0.1或云元数据服务地址）。

STEP 3

SSRF执行

应用程序接收到参数后，调用`passthrough()`函数，利用`httpx`向攻击者指定的内网地址发起HTTP请求。

STEP 4

数据泄露或横向移动

攻击者利用服务器的响应获取敏感信息（如云凭证），或进一步扫描内网端口。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-34936 (Conceptual)
# This demonstrates how a malicious api_base can trigger an SSRF.

import httpx

def simulate_vulnerable_passthrough(api_base, endpoint):
    """
    Simulates the vulnerable passthrough() function in PraisonAI < 4.5.90.
    It concatenates api_base and endpoint without validation.
    """
    # Vulnerability: No validation of URL scheme, IP filtering, or allowlist
    target_url = api_base + endpoint
    
    print(f"[DEBUG] Sending request to: {target_url}")
    
    try:
        # In the actual vulnerability, this request goes out from the server
        # response = httpx.Client().request("GET", target_url)
        # return response.text
        return f"Request would be sent to: {target_url}"
    except Exception as e:
        return str(e)

# Attack Scenario: Accessing internal AWS metadata
malicious_api_base = "http://169.254.169.254/latest/meta-data/"
internal_endpoint = "iam/security-credentials/role"

# Execute the vulnerable function
result = simulate_vulnerable_passthrough(malicious_api_base, internal_endpoint)
print(result)

影响范围

PraisonAI < 4.5.90

防御指南

临时缓解措施

建议立即将PraisonAI升级到4.5.90或更高版本以彻底修复此漏洞。如果无法立即升级，应在网络边界实施Egress过滤（出站流量控制），阻止服务器访问非必要的内网IP地址（如127.0.0.1、169.254.169.254等）和公网非业务地址，并监控是否存在异常的出站HTTP请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表