脆弱性情報
高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
PraisonAI before 1.6.78 Remote Code Execution via CodeAgent
脆弱性説明
PraisonAI before 1.6.78 contains a remote code execution vulnerability in CodeAgent._execute_python() that executes LLM-generated Python code without AST validation, import restrictions, or sandbox enforcement. Attackers can influence LLM output through prompt injection to exfiltrate all environment secrets and execute arbitrary code on the host system.
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
脆弱性タイプ
对生成代码的控制不恰当(代码注入)
脆弱性タイトル
Mervin Praison PraisonAI 代码注入漏洞
脆弱性説明
Mervin Praison PraisonAI是Mervin Praison个人开发者开源的一个低代码多智能体协作框架。 Mervin Praison PraisonAI 1.6.78之前版本存在代码注入漏洞,该漏洞源于CodeAgent._execute_python()中执行LLM生成的Python代码时没有AST验证、导入限制或沙箱强制执行,攻击者可通过提示注入影响LLM输出,从而窃取所有环境机密并在主机系统上执行任意代码。
CVSS情報
N/A
脆弱性タイプ
N/A