漏洞信息
尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
漏洞
PraisonAI: SSRF in FileTools.download_file() via Unvalidated URL
漏洞信息
PraisonAI is a multi-agent teams system. Prior to version 1.5.95, FileTools.download_file() in praisonaiagents validates the destination path but performs no validation on the url parameter, passing it directly to httpx.stream() with follow_redirects=True. An attacker who controls the URL can reach any host accessible from the server including cloud metadata services and internal network services. This issue has been patched in version 1.5.95.
漏洞信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
漏洞
服务端请求伪造(SSRF)
漏洞
PraisonAI 代码问题漏洞
漏洞信息
PraisonAI是Mervin Praison个人开发者的一个低代码多智能体协作框架。 PraisonAI 1.5.95之前版本存在代码问题漏洞,该漏洞源于FileTools.download_file函数验证目标路径但未验证url参数,可能导致攻击者控制URL访问服务器可访问的任何主机。
漏洞信息
N/A
漏洞
N/A