CVE-2026-39891PraisonAI是一个多智能体团队系统。在4.5.115版本之前,其create_agent_centric_tools()函数返回的工具(如acp_create_file)在处理文件内容时使用了模板渲染。由于未对来自agent.start()的用户输入进行转义处理,导致输入中的模板表达式被当作代码执行,而非普通文本。攻击者可利用此漏洞在服务器上执行任意代码,造成严重的安全风险。该漏洞已在4.5.115版本中修复。
该漏洞的根本原因在于PraisonAI的create_agent_centric_tools()函数中存在输入验证缺失。具体来说,当系统调用acp_create_file等工具处理文件内容时,使用了模板渲染技术来动态生成内容。在受影响版本中,从agent.start()接口接收的用户输入被直接传递给模板引擎,未经过任何转义或过滤处理。这使得攻击者可以构造包含模板语法(如{{7*7}}或Python/Jinja2对象利用链)的恶意输入。当模板引擎解析这些输入时,它会将模板表达式作为代码执行,从而导致服务器端模板注入(SSTI)。由于SSTI通常可以进一步导致远程代码执行(RCE),攻击者可能借此获取服务器权限、读取敏感文件或控制多智能体系统的行为。