Kritische RCE-Lücke in PraisonAI (CVE-2026-40154)

Zusammenfassung

Laut dem Sicherheitsexperten Mervin Praison erlaubte die Vorgängerversion 4.5.128 von PraisonAI die Ausführung von Remote-Templates als vertrauenswürdigen Code, ohne Integrität und Herkunft zu überprüfen. Angreifer konnten dies ausnutzen, um das System über manipulierte Templates zu kompromittieren. Die Schwachstelle wurde zwar in der neuesten Version behoben, aber Nutzer müssen ihre Anwendungen dringend aktualisieren, um vor Supply-Chain-Angriffen geschützt zu sein.

Mervinpraison - Praisonai - CRITICAL - CVE-2026-40154. Prior to version 4.5.128, PraisonAI permitted the execution of remotely fetched template files as trusted executable code, lacking integrity verification and origin validation. This oversight allowed attackers to exploit the system through malicious templates, potentially leading to significant security breaches. The vulnerability has been addressed in the latest release, emphasizing the need for users to update their applications to ensure protection against supply chain attacks.