漏洞信息
尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
漏洞
PraisonAI: SSRF via Unvalidated api_base in passthrough() Fallback
漏洞信息
PraisonAI is a multi-agent teams system. Prior to version 4.5.90, passthrough() and apassthrough() in praisonai accept a caller-controlled api_base parameter that is concatenated with endpoint and passed directly to httpx.Client.request() when the litellm primary path raises AttributeError. No URL scheme validation, private IP filtering, or domain allowlist is applied, allowing requests to any host reachable from the server. This issue has been patched in version 4.5.90.
漏洞信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
漏洞
服务端请求伪造(SSRF)
漏洞
PraisonAI 安全漏洞
漏洞信息
PraisonAI是Mervin Praison个人开发者的一个低代码多智能体协作框架。 PraisonAI 4.5.90之前版本存在安全漏洞,该漏洞源于passthrough和apassthrough函数接受调用者控制的api_base参数,未经URL方案验证、私有IP过滤或域名白名单检查即发送请求,可能导致服务端请求伪造。
漏洞信息
N/A
漏洞
N/A