Database delle vulnerabilitàCVE-2026-39305

CVE-2026-39305:
Python Analisi e mitigazione delle vulnerabilità

The Action Orchestrator feature contains a Path Traversal vulnerability that allows an attacker (or compromised agent) to write to arbitrary files outside of the configured workspace directory. By supplying relative path segments (../) in the target path, malicious actions can overwrite sensitive system files or drop executable payloads on the host.

Details

Location: src/praisonai/praisonai/cli/features/action_orchestrator.py (Lines 402, 409, 423) Vulnerable Code snippet:

target = workspace / step.target

In the _apply_step method, paths are constructed by concatenating the workspace path with a user-supplied step.target string: target = workspace / step.target. The code fails to resolve and validate that the final absolute path remains within the bounds of the workspace directory. When processing FILE_CREATE or FILE_EDIT actions, this flaw permits arbitrary file modification.

PoC

Construct a malicious ActionStep payload with path traversal characters:

from praisonai.cli.features.action_orchestrator import ActionStep, ActionType, ActionStatus

# Payload targeting a file outside the workspace
step = ActionStep(
    id="test_traversal",
    action_type=ActionType.FILE_CREATE,
    description="Malicious file write",
    target="../../../../../../../tmp/orchestrator_pwned.txt",
    params={"content": "pwned"},
    status=ActionStatus.APPROVED
)

# When the orchestrator applies this step, it writes to the traversed path

# _apply_step(step)

Impact

This is an Arbitrary File Write vulnerability. Anyone running the Action Orchestrator to apply modifications is vulnerable. A malicious prompt could trick the agent into generating a plan that overwrites critical files (e.g., ~/.ssh/authorized_keys, .bashrc) leading to Remote Code Execution (RCE) or system corruption.

Fonte: NVD

Visualizzare le istanze vulnerabili

Non un cliente? Guarda come Wiz mappa CVE come questo a percorsi reali di attacco cloud.

Guarda la demo di 12 minuti

9

Punteggio

Edito April 6, 2026

Severità CRITICAL

Punteggio CNA N/A

Tecnologie interessate

Python

Ha un exploit pubblico No

Ha l'exploit CISA KEV No

Data di rilascio CISA KEV N/A

CISA KEV Data di scadenza N/A

Percentile di probabilità di sfruttamento (EPSS) N/A

Probabilità di sfruttamento (EPSS) N/A

Pacchetti e librerie interessati

praisonai

Fonti

NVD
GitHub Advisory Database
- pip Severità CRITICALHa FixAggiunto a:Apr 07, 2026

Ottieni una valutazione del rischio CVE

Ottieni una visione prioritaria dei CVE nel tuo cloud, in modo da poterti concentrare su ciò che è sfruttabile, non solo su ciò che è elencato.

Richiedi valutazione

Imparentato Python Vulnerabilità:

CVE ID	Severità	Punteggio	Tecnologie	Nome del componente	Exploit CISA KEV	Ha la correzione	Data di pubblicazione
CVE-2026-35615	CRITICAL	9.2	Python	praisonai	No	Sì	Apr 06, 2026
CVE-2026-39305	CRITICAL	9	Python	praisonai	No	Sì	Apr 06, 2026
CVE-2026-39307	HIGH	8.1	Python	praisonai	No	Sì	Apr 06, 2026
CVE-2026-39306	HIGH	7.3	Python	praisonai	No	Sì	Apr 06, 2026
CVE-2026-39308	HIGH	7.1	Python	praisonai	No	Sì	Apr 06, 2026

Valutazione gratuita delle vulnerabilità

Benchmark della tua posizione di sicurezza del cloud

Valuta le tue pratiche di sicurezza cloud in 9 domini di sicurezza per confrontare il tuo livello di rischio e identificare le lacune nelle tue difese.

Richiedi valutazione

Ulteriori risorse Wiz

PEACH

Un framework di isolamento del tenant

Richiedi una demo personalizzata

Pronti a vedere Wiz in azione?

"La migliore esperienza utente che abbia mai visto offre piena visibilità ai carichi di lavoro cloud."

David EstlickCISO (CISO)

"Wiz fornisce un unico pannello di controllo per vedere cosa sta succedendo nei nostri ambienti cloud."

Adam FletcherResponsabile della sicurezza

"Sappiamo che se Wiz identifica qualcosa come critico, in realtà lo è."

Greg PoniatowskiResponsabile della gestione delle minacce e delle vulnerabilità

Richiedi una demo

CVE-2026-39305: Python Analisi e mitigazione delle vulnerabilità