PraisonAI 平台集體披露:15+ 個 Critical/High CVE,涵蓋硬編碼 JWT、沙箱逃逸、任意 RCE
GitHub Security Advisories · 2026-05-29
安全研究人員在 2026 年 5 月 29 日集體披露 PraisonAI AI Agent 平台(praisonai 和 praisonai-platform pip 套件)的 15 個以上安全漏洞,嚴重程度從 Moderate 到 Critical 不等。這批漏洞覆蓋認證機制、沙箱隔離、跨工作區存取控制三個層面,任何一個 Critical 漏洞單獨即可導致完全系統入侵。
漏洞機制
最嚴重的三個問題:
- GHSA-3qg8-5g3r-79v5 / CVE-2026-47410:JWT 簽名密鑰預設為硬編碼字串
"dev-secret-change-me",當PLATFORM_ENV環境變數未設定時生效,允許任何人偽造任意用戶的 JWT token,完全繞過認證 - GHSA-4mr5-g6f9-cfrh / CVE-2026-47392:
execute_code的 subprocess 模式存在沙箱逃逸,透過print.__self__builtins 模組洩漏取得任意代碼執行能力 - GHSA-vg22-4gmj-prxw / CVE-2026-47391:A2A 官方範例在無認證狀態下可觸達真實 LLM 驅動的
eval()工具執行,導致未認證任意代碼執行
受影響範圍
跨工作區 IDOR 類漏洞(GHSA-c2m8-4gcg-v22g、GHSA-6h6v-6m7w-7vxx 等多個)讓任何工作區成員可讀取、修改或刪除其他工作區的資源。praisonai-platform 的工作區隔離機制根本上不可信——全域物件 ID 可直接跨越工作區邊界使用。
GHSA-hvhp-v2gc-268q:Python API 任意檔案寫入GHSA-9cr9-25q5-8prj:MCP workflow 端點未認證任意檔案讀取GHSA-8444-4fhq-fxpq:deploy --type api預設關閉認證的 Flask serverGHSA-86qc-r5v2-v6x6:call server 端點未設定CALL_SERVER_TOKEN時完全開放
修補與緩解
各 GHSA advisory 頁面列出修補版本;建議立即設定 PLATFORM_ENV 與 CALL_SERVER_TOKEN 環境變數,停止使用 A2A 官方範例直接暴露至網路,並升級至最新版本。在修補版本發布前,部署 PraisonAI 的服務不應暴露在公開網路。
原始來源:GHSA-3qg8-5g3r-79v5、GHSA-vg22-4gmj-prxw、GHSA-4mr5-g6f9-cfrh
End of article