技術的な説明
オープンソースのマルチエージェントチームシステムであるPraisonAIで、重大度がCriticalおよびHighの4つの脆弱性が開示されました。CVE-2026-41497(CVSS 9.8)は、許可リストと引数検証なしでMCPコマンド処理を通じた任意のコマンド実行を可能にします。CVE-2026-44336(CVSS 9.6)は、MCPファイル処理ツールのパストラバーサルを介した任意のファイル読み取り/書き込みを可能にします。CVE-2026-44334(CVSS 8.4)は、見落とされたインポートシンクを悪用することでCVE-2026-40287の修正をバイパスします。CVE-2026-44339(CVSS 8.6)は、モジュールグローバルに対する未検証のツール名解決を通じた任意のコード実行を可能にします。
攻撃経路
攻撃者は、PraisonAIのエージェント調整層全体で不十分な入力検証を悪用する悪意のあるMCPコマンドまたはツール呼び出しを作成できます。例えば、CVE-2026-41497は、bashやpythonなどの実行可能ファイルにインラインコード実行フラグを付けてparse_mcp_command()を通じて直接渡すことを可能にします。CVE-2026-44336は、praisonai.rules.createおよび同様のツール内で未検証のファイルパスを受け入れ、ディレクトリトラバーサルと任意のファイル操作を可能にします。
影響を受けるシステム
4.6.9以前のPraisonAIバージョン(CVE-2026-41497)、4.6.32(CVE-2026-44334)、4.6.34(CVE-2026-44336)、および4.6.37(CVE-2026-44339)。PraisonAIは、マルチエージェント調整とワークフロー自動化のための研究およびエンタープライズプロトタイプで使用されています。
緩和策
最新のPraisonAIバージョンにアップグレードしてください:CVE-2026-41497の場合は4.6.9以上、CVE-2026-44334の場合は4.6.32以上、CVE-2026-44336の場合は4.6.34以上、CVE-2026-44339の場合は4.6.37以上。本番環境でPraisonAIを使用している組織は、エージェントがアクセス可能なツールとファイルシステムパスの即座なセキュリティレビューを実施し、MCPコマンドに対して厳密な許可リストを強制し、エージェント実行環境をサンドボックス化する必要があります。