1  info:
 2    name: praisonai
 3    cve: CVE-2026-40088
 4    summary: PraisonAI 通过 Shell 元字符进行操作系统命令注入（CWE-78）
 5    details: >-
 6      4.5.121 版本之前的 PraisonAI 存在操作系统命令注入漏洞。
 7      execute_command 函数和工作流 shell 执行逻辑将用户可控输入直接传递给 subprocess.run()，
 8      且设置了 shell=True，攻击者可通过 shell 元字符（;、|、&&、$() 等）注入任意系统命令。
 9      可利用的输入来源包括：YAML 工作流步骤定义中的 target 字段、agent 配置文件（agents.yaml）
10      中的 shell_command 字段、recipe 步骤配置，以及 LLM 生成的工具调用参数。
11      成功利用该漏洞可导致远程命令执行、数据泄露乃至系统完全沦陷。
12      发布时暂未发现公开可用的 PoC 利用代码。
13      CVSS 3.1 评分 9.6（严重），攻击向量为网络，攻击复杂度低，无需权限。
14    cvss: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
15    severity: CRITICAL
16    security_advise: >-
17      升级 PraisonAI 至 4.5.121 或更高版本。该修复版本对用户可控输入进行了净化处理，
18      防止其被直接传递给 shell 执行函数。临时缓解措施：将 PraisonAI 服务器的访问限制为
19      受信任用户，避免运行来源不明的 YAML 工作流文件或 agent 配置文件。
20      如非必要，在 agent 配置中禁用 execute_command 工具。
21    references:
22      - https://github.com/MervinPraison/PraisonAI/security/advisories/GHSA-2763-cj5r-c79m
23      - https://github.com/MervinPraison/PraisonAI/releases/tag/v4.5.121
24      - https://nvd.nist.gov/vuln/detail/CVE-2026-40088
25  rule: version < "4.5.121"
26  references:
27    - https://github.com/MervinPraison/PraisonAI/security/advisories/GHSA-2763-cj5r-c79m
28    - https://github.com/MervinPraison/PraisonAI/releases/tag/v4.5.121
29    - https://nvd.nist.gov/vuln/detail/CVE-2026-40088