何が起きたか
CVE-2026-56076は認証なしのクロスオリジンエージェント実行脆弱性です。/agui POSTエンドポイントは認証がなく、Access-Control-Allow-Origin: *をハードコードしており、攻撃者制御のWebページがクロスオリジンリクエスト経由でエージェント実行をトリガーできます。
なぜ重要か
悪意のあるWebサイトは、訪問者が実行しているPraisonAIインスタンス上で任意のエージェント実行をトリガーでき、コード実行、データ流出、接続されたシステムへの横方向の移動につながります。
攻撃経路
PraisonAIのPOST /aguiエンドポイントは認証がなく、Access-Control-Allow-Origin: *をハードコードしています。攻撃者は/aguiへのクロスオリジンリクエストを発行する悪意のあるWebページを作成し、任意のエージェント実行をトリガーします。Starletteのコンテンツネゴシエーションにより、攻撃者はリクエスト処理を制御できます。
影響を受けるシステム
PraisonAI < 1.5.128
緩和策
PraisonAI 1.5.128以降にアップグレードしてください。/aguiエンドポイントで認証を要求してください。CORSヘッダーを削除するか制限してください。