PraisonAI has an incomplete fix for CVE-2026-34935 - OS Command Injection — CVE-2026-41497
GitHub · GitHub · CVE-2026-41497
ID
CVE-2026-41497
CVE-2026-41497
Datum
Aktualisiert
Activity
Quelle
GitHub
GitHub
Vendor
GitHub
GitHub
Risiko
critical
critical
CVSS
9.8
9.8
EPSS
0.00079
0.00079
Zusammenfassung
### Summary The fix for PraisonAI's MCP command handling does not add a command allowlist or argument validation to `parse_mcp_command()`, allowing arbitrary executables like `bash`, `python`, or `/bin/sh` with inline code execution flags to pass through to subprocess execution. ### Affected Package - **Ecosystem:** PyPI - **Package:** MervinPraison/PraisonAI - **Affected versions:** < 47bff65413be - **Patched…
Produkt
pip: praisonai
Was tun?
Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):
- Priorisiere sofort Patches oder Mitigations (hohes akutes Risiko).
- Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
- Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
- Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.