漏洞概述 漏洞名称: PraisonAI before 4.6.78 Unenforced Security Policy in Subprocess Sandbox CVE编号: CVE-2026-60085 CWE编号: CWE-273 Improper Check for Dropped Privileges CVSS评分: 8.7 CVSS向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N 发布日期: 7/15/2026 严重程度: HIGH 影响范围 受影响版本: PraisonAI >= 0, < 4.6.78 修复方案 修复版本: 升级到 PraisonAI 4.6.78 或更高版本 漏洞描述 PraisonAI 在 4.6.78 版本之前存在一个未强制执行的安全策略漏洞,在默认的 Subprocess Sandbox 后端中, 、 、 、 和 限制被完全忽略。攻击者可以执行任意子进程命令、读取敏感文件并执行破坏性操作,尽管有明确的安全策略配置。 参考链接 GitHub Security Advisory 贡献者 LHMisme420 其他信息 VulnCheck: 提供漏洞情报和威胁情报平台,帮助组织优先处理和修复关键漏洞。 功能: 漏洞优先级排序、早期预警系统。 总结 该漏洞涉及 PraisonAI 在 4.6.78 版本之前的子进程沙箱安全策略未强制执行的问题,可能导致任意命令执行和敏感文件读取。建议尽快升级到 4.6.78 或更高版本以修复此漏洞。