JVNDB-2026-011915

Mervin Praison (MervinPraison)のPraisonAIにおける複数の脆弱性

PraisonAIはマルチエージェントチームシステムです。バージョン4.5.128以前のPraisonAIのASTベースのPythonサンドボックスは、type.__getattribute__トランポリンを使用してバイパスでき、信頼できないエージェントコードの実行時に任意のコードが実行されてしまいます。praisonaiagents/tools/python_tools.pyの_execute_code_direct関数は、__subclasses__、__globals__、__bases__などの危険なPython属性をブロックするためにASTフィルタリングを使用していますが、フィルターはast.Attributeノードのみをチェックしており、バイパスを許してしまいます。このサンドボックスは属性アクセスのASTベースフィルタリングに依存していますが、type.__getattribute__などの組み込みメソッドによる動的属性解決を考慮しておらず、セキュリティ規制を完全には施行できていません。文字列'__subclasses__'はast.Attributeではなくast.Constantであるため、ブロックリストに対してチェックされません。この脆弱性はバージョン4.5.128で修正されました。

Mervin Praison (MervinPraison)

• PraisonAI 4.5.128 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Improper Control of Generation of Code ('Code Injection') and Protection Mechanism Failure in praisonai  Advisory  MervinPraison/PraisonAI  GitHub

1. 保護メカニズムの不具合(CWE-693) [その他]
2. コード・インジェクション(CWE-94) [その他]

1. CVE-2026-40158

1. National Vulnerability Database (NVD) : CVE-2026-40158

• [2026年04月21日]
    掲載