استغلال ثغرة تخطي المصادقة فـ PraisonAI بعد ساعات قليلة من الإعلان عليها

خلاصة — الثغرة CVE-2026-44338، اللي هي عبارة عن تخطي للمصادقة (authentication bypass) فـ السيرڤر القديم ديال Flask API فـ PraisonAI، استغلها فاعل التهديد فـ ظرف 3 دالساعات و44 دقيقة من بعد النشر ديال التقرير الأمني فـ 11 ماي 2026. هاد الثغرة كتسمح بالوصول بلا مصادقة لـ endpoints الخاصة بجرد الـ agents وتفعيل الـ workflows. ݣاع النسخ من 2.5.6 حتال 4.6.33 مقيوسين؛ والنسخة 4.6.34 جابت ترقيع لهاد المشكل.

أشنو وقع

نهار 11 ماي 2026 مع 13:56 UTC، نشرو المطورين ديال PraisonAI تقرير أمني كيعلنو فيه على الثغرة CVE-2026-44338، واللي هي غياب المصادقة فـ السيرڤر القديم ديال Flask API الخاص بـ framework. هاد المشكل جاي من إعدادات افتراضية مبرمجة قسريا (hard-coded defaults) فـ الملف src/praisonai/api_server.py، واللي كترد AUTH_ENABLED = False و AUTH_TOKEN = None.

فـ ظرف 3 دالساعات و44 دقيقة—مع 17:40 UTC فـ نفس النهار—لاحظو باحثين أمنيين من Sysdig أول محاولة ديال استغلال موجه. واحد الـ scanner كيعرف راسو بـ CVE-Detector/1.0 وجاي من عنوان IP 146.190.133.49، دار فحص لـ endpoint المصاب /agents فـ الأنظمة اللي معرضة للأنترنيت. هاد الـ scanner دار جوج دورات ديال الفحص بيناتهم 8 دقايق، وكل وحدة صيفطات تقريبا 70 request فـ 50 ثانية. الدورة الأولى جربات مسارات كشف عامة، أما الدورة الثانية ركزات بالضبط على الواجهات ديال AI-agent، بما فيها PraisonAI.

الاستغلال الناجح ضد الـ endpoint /agents رجّع استجابة HTTP 200 مع JSON كيتوفر على الـ configuration ديال ملف الـ agent ولائحة ديال الـ agents المكونين، وهادشي كيثبت باللي تخطي المصادقة خدام مزيان. ما تلاحظو حتى شي طلبات POST للـ endpoint /chat خلال وقت الفحص، وهادشي كيقترح باللي المهاجم كان كيدير غي الاستطلاع الأولي (reconnaissance) باش يتأكد واش النظام قابل للاستغلال بلا ما ينفذ الـ workflows.

الفضل فـ اكتشاف هاد الثغرة والتبليغ عليها للمطورين ديال PraisonAI كيرجع للباحث الأمني Shmulik Cohen.

علاش هادشي مهم

تخطي المصادقة واقع بشكل مؤكد فـ السيرڤر القديم ديال API اللي كيجي مع النظام. أي مهاجم بلا مصادقة وعندو وصول للشبكة يقدر:

• يدير جرد لملف الـ workflow المسمى agents.yaml والـ agents ديالو من خلال الـ endpoint /agents
• يفعل التنفيذ ديال الـ agents اللي مكونين محليا (locally configured) من خلال الـ endpoint /chat بلا ما يعطي حتى شي token
• يستهلك حصص (quotas) النماذج والـ API المرتبطة ببيانات اعتماد المشغل
• يستقبل نتائج التنفيذ من النداءات ديال PraisonAI.run()

التأثير الفعلي كيعتمد على الصلاحيات والتكاملات (integrations) اللي مكونين (configured) فـ الـ agents ديال المشغل باش يوصلو ليها. شي agent عندو صلاحية الكتابة فـ قاعدة البيانات (database)، أو إمكانيات تغيير بيانات الاعتماد، أو تكامل مع API خارجية كيقدر يسمح بالتحرك الجانبي (lateral movement)، أو تسريب البيانات، أو اختراق البنية التحتية بالكامل. السرعة ديال الاستغلال—اللي تنفذات فـ سوايع قليلة من الإعلان للاستكشاف النشيط—كتبين باللي المشغلين اللي كيستعملو PraisonAI بالإعدادات الافتراضية المصابة ما عندهمش بزاف ديال الوقت للاستجابة قبل ما يواجهو تهديدات حقيقية.

الأنظمة المقيوسة و CVEs

• PraisonAI النسخ من 2.5.6 حتال 4.6.33 — CVE-2026-44338 (CVSS 7.3)

هاد الثغرة تم الترقيع ديالها فـ النسخة 4.6.34.

شنو خاص يدار

• ديرو تحديث لـ PraisonAI للنسخة 4.6.34 ولا ما حسن فـ أقرب وقت ممكن.
• ديرو افتحاص للأنظمة المتبتة عندكم باش تلقاو أي نسخ خدامة بين 2.5.6 و 4.6.33، وبشكل خاص هادوك اللي معرضين لشبكات ما موثوقاش.
• راجعو سجلات الفوترة والاستعمال الخاصة بمزودي النماذج فـ الفترة من بعد 11 ماي 2026، باش تكتشفو أي تنفيذ مشبوه للـ agent أو استهلاك زايد فـ حصة الـ API.
• بدلو (Rotate) أي بيانات اعتماد أو مفاتيح API مذكورة فـ agents.yaml، حيت غالبا غايكونو تكتاشفو خلال نشاط الفحص.
• فعلو ضوابط الوصول للشبكة (network access controls) باش تحصرو الوصول للـ endpoints /agents و /chat غي للمستعملين الموثوقين، فـ انتظار ديرو التحديث.

أسئلة باقة مطروحة

• واش فاعل التهديد صيفط أي طلبات POST للـ endpoint /chat باش ينفذ الـ agents بالفعل، ولا داكشي بقى غي فـ مرحلة الاستطلاع.
• شحال هو النطاق العام ديال أنظمة PraisonAI المعرضة للأنترنيت اللي تم الفحص ديالها أو تم بنجاح استغلالها.
• الهوية ديال فاعل التهديد اللي خدم الـ scanner المسمى CVE-Detector/1.0، واش هاد النشاط جزء من حملة واسعة.
• واش وقع شي استغلال ناجح كيتجاوز الجرد الأولي ديال /agents قبل ما يقدرو المشغلين يديرو ترقيع للأنظمة ديالهم.

Source

PraisonAI CVE-2026-44338 Auth Bypass Targeted Within Hours of Disclosure