漏洞信息
尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
PraisonAI before 1.7.3 Unauthenticated Agent Access via Insecure Defaults
Vulnerability Description
PraisonAI before 1.7.3 contains an insecure default configuration that binds to all interfaces with no API key requirement and wildcard CORS. Unauthenticated attackers can call GET /api/agents to read agent instructions and system prompts, or POST /api/chat to invoke agents without authentication.
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L
Vulnerability Type
信息暴露
Vulnerability Title
Mervin Praison praisonai 信息泄露漏洞
Vulnerability Description
Mervin Praison PraisonAI是Mervin Praison个人开发者开源的一个低代码多智能体协作框架。 Mervin Praison PraisonAI 1.7.3之前版本存在信息泄露漏洞,该漏洞源于不安全的默认配置,绑定到所有接口且无API密钥要求和通配符CORS,可能导致未经验证的攻击者通过调用GET /api/agents读取代理指令和系统提示,或通过POST /api/chat调用代理。
CVSS Information
N/A
Vulnerability Type
N/A