CVE-2026-40288 CVSS 9.8 严重

CVE-2026-40288 PraisonAI远程代码执行漏洞

披露日期: 2026-04-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-40288

漏洞类型

远程代码执行

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

PraisonAI, praisonaiagents

漏洞概述

PraisonAI是一款多代理团队系统。在4.5.139版本之前的PraisonAI和1.5.140版本之前的praisonaiagents中，工作流引擎存在严重漏洞。由于对YAML文件处理缺乏验证和沙箱隔离，攻击者可以通过恶意YAML文件实现任意命令和代码执行，从而完全控制主机系统，危及数据及凭证安全。

技术细节

该漏洞源于PraisonAI工作流引擎对YAML文件的不安全处理。当使用`praisonai workflow run <file.yaml>`加载类型为`job`的YAML文件时，`JobWorkflowExecutor`解析并执行特定步骤。关键问题在于`job_workflow.py`和`workflow.py`中的代码路径直接处理YAML中定义的`run`（subprocess执行shell）、`script`（exec执行内联Python）和`python`（执行任意Python脚本）指令。这些操作完全绕过了安全验证。攻击者若能控制或影响工作流YAML文件（例如在CI流水线、共享仓库或多租户环境中），即可利用这些未经过滤的入口点，在宿主机上执行任意系统命令或Python代码。

攻击链分析

STEP 1

1. 构造恶意文件

攻击者创建包含恶意指令的YAML文件，利用type: job并指定run或script字段。

STEP 2

2. 投递恶意文件

攻击者将恶意YAML文件上传至CI流水线、共享仓库或诱导受害者加载。

STEP 3

3. 触发解析执行

受害者或系统执行`praisonai workflow run`命令加载该文件。

STEP 4

4. 获取系统权限

JobWorkflowExecutor无验证地解析YAML并执行命令，攻击者获得主机控制权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

type: job
steps:
  - name: "Arbitrary Command Execution"
    run: "id" # Execute shell command to show user info
  - name: "Inline Python Execution"
    script: "import os; os.system('whoami')" # Execute Python code

影响范围

PraisonAI < 4.5.139

praisonaiagents < 1.5.140

防御指南

临时缓解措施

在升级修复前，切勿加载或运行来源不可信的YAML工作流文件。建议在隔离的沙箱环境中运行PraisonAI，并对所有输入的YAML文件进行人工或自动化安全审计，确保不包含恶意的run或script指令。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表