무슨 일이 있었나
PraisonAI의 MultiAgentMonitor는 파일 시스템 경로를 구성할 때 에이전트 ID를 살균화하지 않아 ../과 같은 시퀀스를 통한 경로 순회 공격을 허용합니다.
왜 중요한가
PraisonAI 호스트의 무제한 파일 접근은 공격자가 구성 파일을 읽거나 자격 증명을 탈취하거나 에이전트 동작을 수정하거나 백도어를 심을 수 있습니다.
공격 경로
PraisonAI의 MultiAgentMonitor 구성 요소는 파일 경로를 구성할 때 에이전트 ID를 살균화하지 않습니다. 공격자가 에이전트 ID에 순회 시퀀스(예: ../../../etc/passwd)를 포함하여 에이전트를 등록하면 의도된 디렉토리 외부의 읽기/쓰기가 가능해집니다.
영향받는 시스템
PraisonAI < 1.5.115
완화 방안
PraisonAI 1.5.115 이상으로 업그레이드하세요. 파일 경로를 구성하기 전에 모든 사용자 제공 식별자를 살균화하세요.