기술 설명
약 7,100개의 GitHub 스타를 가진 오픈소스 멀티에이전트 오케스트레이션 프레임워크인 PraisonAI는 인증이 기본적으로 비활성화된 레거시 Flask 기반 API 서버(src/praisonai/api_server.py)를 제공합니다(AUTH_ENABLED = False, AUTH_TOKEN = None). check_auth() 헬퍼는 인증이 비활성화될 때마다 True를 반환하여 두 개의 보호된 경로인 GET /agents와 POST /chat이 설계상 실패하도록 합니다. 인터넷에 접근 가능한 모든 인스턴스는 인증되지 않은 에이전트 워크플로우 접근을 허용했습니다. GitHub 공지 GHSA-6rmh-7xcm-cpxj는 2026년 5월 11일 13:56 UTC에 발표되었습니다. Sysdig는 146.190.133.49에서 17:32 UTC의 첫 번째 표적 정찰(일반 경로)을 관찰했으며, 17:40 UTC에 PraisonAI 특정 엔드포인트(/api/agents, /api/agents/config)로 전환하였습니다. 공개 후 3시간 44분입니다. 스캐너는 자신을 'CVE-Detector/1.0'으로 식별했습니다.
공격 경로
에이전트 워크플로우 트리거 엔드포인트에 대한 인증되지 않은 원격 접근. 공격자는 GET 요청을 /agents로 보내 구성된 워크플로우를 열거하고 POST 요청을 /chat으로 보내 유효한 인증 토큰을 제공하지 않고 임의의 에이전트 워크플로우를 실행할 수 있습니다. 영향 범위는 운영자가 에이전트 워크플로우에 부여한 권한에 따라 결정되며, 여기에는 클라우드 자격증명, API 접근 또는 데이터베이스 조작이 포함될 수 있습니다.
영향받는 시스템
PraisonAI 버전 2.5.6~4.6.33. 이 취약점은 레거시 api_server.py 진입점을 사용하고 네트워크 접근에 노출된 모든 배포에 영향을 줍니다. 인터넷 연결된 PraisonAI 인스턴스를 실행하거나 내부 환경에서 레거시 API 서버를 사용하는 조직은 노출 상태로 가정해야 합니다.
완화 방안
PraisonAI 버전 4.6.34 이상으로 업그레이드하세요. 이는 취약한 레거시 API 서버를 제거하고 더 강력한 인증 보호를 도입합니다. 레거시 api_server.py 진입점의 사용을 완전히 중단하세요. 'CVE-Detector/1.0' 사용자 에이전트 문자열을 포함하는 요청과 /agents, /chat, /api/agents 및 관련 MCP 엔드포인트를 대상으로 하는 의심스러운 트래픽을 모니터링하세요. 업그레이드가 불가능할 때까지 API 서버에 대한 접근을 제한하기 위해 네트워크 계층 컨트롤을 구현하세요. 이 우회는 애플리케이션 로그에 인증 누락 신호를 남기지 않습니다.