技術的な説明
PraisonAI は、約7,100のGitHubスターを持つオープンソースマルチエージェントオーケストレーションフレームワークであり、認証がデフォルトで無効になっているレガシーFlaskベースのAPIサーバー(src/praisonai/api_server.py)を搭載していました(AUTH_ENABLED = False、AUTH_TOKEN = None)。check_auth()ヘルパーは認証が無効な場合は常にTrueを返し、2つの保護されたルート—GET /agentsおよびPOST /chat—が設計上フェイルオープンになります。インターネットに到達可能なインスタンスはすべて、認証なしでエージェントワークフローにアクセスできました。GitHubアドバイザリGHSA-6rmh-7xcm-cpxjは2026年5月11日13:56 UTCに公開されました。Sysdigは146.190.133.49からの最初の標的型偵察を17:32 UTC(一般的なパス)で観測し、2026年5月11日17:40 UTCにPraisonAI固有のエンドポイント(/api/agents、/api/agents/config)にピボットしました—公開から3時間44分後。スキャナーは自身を「CVE-Detector/1.0」と識別しました。
攻撃経路
エージェントワークフロートリガーエンドポイントへの認証なしのリモートアクセス。攻撃者は/agentsへのGETリクエストを送信して構成されたワークフローを列挙し、/chatへのPOSTリクエストを送信して有効な認証トークンを提供することなく任意のエージェントワークフローを実行できます。影響の上限は、オペレータがエージェントワークフローに付与した権限によって決まります。これにはクラウド認証情報、APIアクセス、またはデータベース操作が含まれる可能性があります。
影響を受けるシステム
PraisonAIバージョン2.5.6から4.6.33まで。この欠陥は、レガシーapi_server.pyエントリポイントを使用し、ネットワークアクセスに公開されているデプロイメントに影響します。インターネット向きのPraisonAIインスタンスを実行している、またはレガシーAPIサーバーを内部環境で使用している組織は、公開されていると想定すべきです。
緩和策
PraisonAIバージョン4.6.34以降にアップグレードしてください。これは脆弱なレガシーAPIサーバーを削除し、強力な認証保護を導入します。レガシーapi_server.pyエントリポイントの使用を完全に中止してください。「CVE-Detector/1.0」ユーザーエージェント文字列を含むリクエストと/agents、/chat、/api/agents、および関連MCPエンドポイントを標的とした疑わしいトラフィックを監視してください。アップグレードが可能になるまで、バイパスがアプリケーションログに認証漏れシグナルを残さないため、ネットワークレイヤー制御を実装してAPIサーバーへのアクセスを制限してください。