Apa yang terjadi
MultiAgentMonitor dalam PraisonAI gagal membersihkan ID agen saat membangun jalur sistem file, memungkinkan serangan path traversal melalui urutan seperti ../ dalam ID agen.
Mengapa penting
Akses file tanpa batas pada host PraisonAI memungkinkan penyerang membaca file konfigurasi, mencuri kredensial, memodifikasi perilaku agen, atau menanam backdoor.
Vektor serangan
Komponen MultiAgentMonitor PraisonAI gagal membersihkan ID agen saat membangun jalur file. Penyerang mendaftarkan agen dengan urutan traversal (misalnya ../../../etc/passwd) dalam ID agen, memungkinkan pembacaan/penulisan di luar direktori yang dimaksudkan.
Sistem yang terdampak
PraisonAI < 1.5.115
Mitigasi
Tingkatkan ke PraisonAI 1.5.115 atau lebih baru. Bersihkan semua identifier yang disuplai pengguna sebelum membangun jalur file.