PraisonAI-Schwachstelle innerhalb weniger Stunden nach Bekanntwerden ausgenutzt

Dieser architektonische Fehler ermöglicht es jedem Nutzer im Netzwerk, automatisierte Agenten-Operationen zu übernehmen, Aufgaben auszuführen und teure API-Kontingente auszuleeren, ohne gültige Anmeldeinformationen vorlegen zu müssen.

Ausnutzung der PraisonAI-Schwachstelle Die Ursache dieses Schwachstellen mit hoher Schweregrad liegt tief im mitgelieferten Legacy-Flask-API-Server, speziell im Einstiegspunkt src/praisonai/api_server.py. Sicherheitsforscher haben entdeckt, dass der Codebase auf unsichere, fest codierte Standardwerte zurückgreift, die explizit AUTH_ENABLED = False und AUTH_TOKEN = None setzen.

Da die zugrundeliegende Funktion check_auth() bei deaktivierter Authentifizierung aus Designgründen offen fehlschlägt, umgehen eingehende Anfragen automatisch die üblichen Sicherheitsmechanismen. Die Risiken werden weiter verschärft, wenn dieses Skript direkt gestartet wird: Es bindet an 0.0.0.0:8080.

Moegliche Anwendungen

Dadurch werden die verwundbaren, ungeschützten Endpunkte allen erreichbaren Netzwerkinterfaces ausgesetzt, anstatt sie auf lokale Umgebungen zu beschränken. Auch das Bereitstellungssystem des Frameworks spiegelt diese unsichere Konfiguration wider, indem es Beispielkonfigurationen für Bereitstellungen generiert, die offene Host-Bindings zusammen mit deaktivierter Authentifizierung empfehlen.

Bedrohungsakteure können diese Lücke mühelos ausnutzen, indem sie zwei primäre Endpunkte ohne Angabe eines Authorization-Headers angreifen. Eine einfache GET-Anfrage an die Route /agents ermöglicht die unauthentifizierte Enumeration der konfigurierten Agenten-Metadaten und verschafft Angreifern sofortige Einblicke in den operationellen Umfang des Systems.

Noch kritischer ist, dass eine POST-Anfrage an /chat sofort den lokalen Workflow der Datei agents.yaml auslöst. Gemäß dem GitHub Advisory GHSA-6rmh-7xcm-cpxj ermöglicht diese Schwachstelle externen Angreifern, vordefinierte automatisierte Workflows wiederholt auszulösen, auch wenn eine direkte Prompt-Injection nicht aktiviert wird.

Angreifer können problemlos sensible Ausgabedaten extrahieren,

Angreifer können problemlos sensible Ausgabedaten extrahieren, die vom System zurückgegeben werden, und die Infrastruktur des Opfers dazu bringen, teure Quoten für externe KI-Modelle durch wiederholte Ausführungen zu erschöpfen. Die Maintainer 4.6.34 veröffentlicht, um diese Schwachstelle zu beheben.

Entwickler, die das pip-Paket nutzen, müssen ihre Umgebungen unverzüglich aktualisieren, um eine aktive Ausnutzung zu verhindern. Darüber hinaus wird Sicherheitsingenieuren dringend empfohlen, vom veralteten API-Server abzurücken und stattdessen den neueren Befehl `serve agents` zu verwenden.

Dieser moderne Bereitstellungsansatz ist standardmäßig sicher, bindet lokal an die Adresse 127.0.0.1 und erfordert ein Argument `--api-key` für den Zugriff, wodurch das Risiko eines unbefugten Eindringens wirksam neutralisiert wird. Sie uns auf