Retour à la liste

PraisonAI: SQL Injection via unvalidated `table_prefix` in 9 conversation store backends (incomplete fix for CVE-2026-40315) — CVE-2026-41496

GitHub · GitHub · CVE-2026-41496

ID
CVE-2026-41496
Date
Mis à jour
Activity
Source
GitHub
Fournisseur
GitHub
Risque
high
CVSS
8.1
EPSS
0.00012

Résumé

The fix for [CVE-2026-40315](https://github.com/MervinPraison/PraisonAI/security/advisories/GHSA-x783-xp3g-mqhp) added input validation to `SQLiteConversationStore` only. Nine sibling backends — MySQL, PostgreSQL, async SQLite/MySQL/PostgreSQL, Turso, SingleStore, Supabase, SurrealDB — pass `table_prefix` straight into f-string SQL. Same root cause, same code pattern, same exploitation. 52 unvalidated injection…

Produit

pip: praisonai | pip: praisonaiagents

Que faire

Mesures générales et prudentes (vérifiez les détails dans la source officielle) :

  • Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
  • Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
  • Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
  • Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.

Avis officiel

Avis associés

GitHub GitHub 2026-W20