Bypass Autentikasi PraisonAI CVE-2026-44338 Dieksploitasi Kurang Dari Empat Jam Setelah Pengungkapan

PraisonAI, kerangka kerja orkestrasi multi-agen open-source dengan sekitar 7.100 bintang GitHub, mengirimkan server API berbasis Flask warisan (src/praisonai/api_server.py) dengan autentikasi dinonaktifkan secara default (AUTH_ENABLED = False, AUTH_TOKEN = None). Helper check_auth() mengembalikan True kapan pun autentikasi dinonaktifkan, menyebabkan dua rute terlindungi—GET /agents dan POST /chat—gagal terbuka secara desain. Setiap instance yang dapat dijangkau internet memungkinkan akses tidak terautorisasi ke alur kerja agen. Penasihat GitHub GHSA-6rmh-7xcm-cpxj dipublikasikan 11 Mei 2026, pukul 13:56 UTC. Sysdig mengamati pengintaian tertarget pertama dari 146.190.133.49 pada pukul 17:32 UTC (jalur generik), beralih ke titik akhir spesifik PraisonAI (/api/agents, /api/agents/config) pada pukul 17:40 UTC—tiga jam dan 44 menit setelah pengungkapan. Pemindai mengidentifikasi dirinya sebagai 'CVE-Detector/1.0.'

Akses jarak jauh tidak terautorisasi ke titik akhir pemicu alur kerja agen. Penyerang dapat mengirim permintaan GET ke /agents untuk menghitung alur kerja yang dikonfigurasi dan permintaan POST ke /chat untuk menjalankan alur kerja agen arbitrer tanpa menyediakan token autentikasi yang valid. Batas dampak ditentukan oleh izin apa pun yang diberikan operator kepada alur kerja agen—berpotensi termasuk kredensial cloud, akses API, atau manipulasi basis data.

Versi PraisonAI 2.5.6 hingga 4.6.33. Kerentanan mempengaruhi penyebaran apa pun yang menggunakan titik masuk api_server.py warisan dan terbuka terhadap akses jaringan. Organisasi yang menjalankan instans PraisonAI yang menghadap internet atau menggunakan server API warisan di lingkungan internal harus menganggap terpajan.

Tingkatkan ke versi PraisonAI 4.6.34 atau lebih baru, yang menghapus server API warisan yang rentan dan memperkenalkan perlindungan autentikasi yang lebih kuat. Hentikan penggunaan titik masuk api_server.py warisan sepenuhnya. Pantau permintaan yang berisi string agen pengguna 'CVE-Detector/1.0' dan lalu lintas mencurigakan yang menargetkan /agents, /chat, /api/agents, dan titik akhir MCP terkait. Hingga upgrade memungkinkan, terapkan kontrol lapisan jaringan untuk membatasi akses ke server API, karena bypass tidak meninggalkan sinyal autentikasi yang hilang dalam log aplikasi.