JVNDB-2026-011295

Mervin Praison (MervinPraison)のPraisonAIにおける複数の脆弱性

PraisonAIはマルチエージェントチームシステムです。バージョン1.5.115より前のバージョンでは、praisonaiagents.tools.python_toolsのexecute_code()関数はsandbox_modeをデフォルトで"sandbox"に設定しており、ユーザーコードを制限された__builtins__辞書とASTベースのブロックリストでラップされたサブプロセス内で実行していました。サブプロセスラッパー内に埋め込まれたASTブロックリスト（python_tools.pyのblocked_attrs）は11個の属性名のみを含み、これは直接実行パスでブロックされる30以上の名前の厳密なサブセットです。サンドボックス外へフレームトラバーサルチェーンを形成する4つの属性（__traceback__, tb_frame, f_back, f_builtins）はサブプロセスのリストに存在していません。これらの属性を捕捉した例外を介して連鎖させることで、サブプロセスラッパーフレームの実際のPythonのbuiltins辞書が露出し、そこからexecを取得してブロックされていない変数名で呼び出すことが可能となり、すべての残存するセキュリティ層を回避できました。この脆弱性はバージョン1.5.115で修正されています。

Mervin Praison (MervinPraison)

• PraisonAI 1.5.115 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Sandbox escape via exception frame traversal in `execute_code` (subprocess mode)  Advisory  MervinPraison/PraisonAI  GitHub

1. セキュリティ設計の原則に反した設計(CWE-657) [その他]
2. 保護メカニズムの不具合(CWE-693) [その他]

1. CVE-2026-39888

1. National Vulnerability Database (NVD) : CVE-2026-39888

• [2026年04月17日]
    掲載