### Explotación Rápida de la Vulnerabilidad de PraisonAI Investigadores de seguridad han observado a actores de amenazas explotando activamente **CVE-2026-44338**, una vulnerabilidad crítica en **PraisonAI**. Esta falla permite el acceso no autenticado a endpoints sensibles, lo que potencialmente permite a los atacantes invocar las funcionalidades protegidas del servidor API sin la autorización adecuada. ### Detalles de CVE-2026-44338: Omisión de Autenticación La vulnerabilidad, rastreada como **CVE-2026-44338** (puntaje CVSS: 7.3), se origina en una falta de verificación de autenticación. Según un aviso, **PraisonAI** incluye un servidor API Flask heredado que tiene la autenticación deshabilitada por defecto. Esto significa que cualquier llamador capaz de alcanzar el servidor puede acceder a `/agents` e invocar el flujo de trabajo `agents.yaml` configurado a través de `/chat` sin necesidad de un token. El servidor API heredado basado en Flask (`src/praisonai/api_server.py`) tiene codificado `AUTH_ENABLED = False` y `AUTH_TOKEN = None`. La explotación exitosa puede llevar a: * Enumeración no autenticada del archivo de agente configurado a través de `/agents` * Invocación no autenticada del flujo de trabajo `agents.yaml` configurado localmente a través de `/chat` * Consumo repetido de la cuota del modelo/API * Exposición de los resultados de `PraisonAI.run()` al llamador no autenticado El impacto varía según la configuración de `agents.yaml` del operador, pero la omisión de autenticación es incondicional en el servidor heredado incluido. ### Versiones Afectadas y Mitigación La vulnerabilidad afecta a todas las versiones del paquete Python desde la 2.5.6 hasta la 4.6.33. Hay un parche disponible en la versión 4.6.34. El crédito por descubrir e informar la vulnerabilidad va al investigador de seguridad Shmulik Cohen. ### Explotación en el Mundo Real Observada **Sysdig** informó haber observado intentos de explotación a las pocas horas de la divulgación pública de la vulnerabilidad. "Dentro de tres horas y 44 minutos después de que el aviso se hiciera público, un escáner que se identificó como CVE-Detector/1.0 estaba sondeando el endpoint vulnerable exacto en instancias expuestas a Internet", afirmó **Sysdig**. "El aviso se publicó [el 11 de mayo de 2026] a las 13:56 UTC. La primera solicitud dirigida aterrizó a las 17:40 UTC del mismo día." La actividad se originó en la dirección IP 146.190.133[.]49 y siguió un perfil de escáner empaquetado, realizando dos pasadas con aproximadamente 70 solicitudes cada una. ### Comportamiento del Escáner e Implicaciones La primera pasada escaneó rutas de divulgación genéricas, mientras que la segunda se dirigió específicamente a superficies de agentes de IA, incluido **PraisonAI**. La sonda que coincidía con **CVE-2026-44338** fue una solicitud `GET /agents` sin un encabezado de Autorización, lo que confirma que la omisión fue exitosa. El escáner no envió ninguna solicitud `POST` al endpoint `/chat`, lo que sugiere una verificación inicial para confirmar la omisión de autenticación y la explotabilidad. ### Recomendaciones para Profesionales de Seguridad La rápida explotación de la falla de **PraisonAI** subraya la necesidad de parches rápidos y medidas de seguridad proactivas. Es crucial: * Aplicar las últimas correcciones lo antes posible. * Auditar las implementaciones existentes para detectar versiones vulnerables. * Revisar la facturación del proveedor de modelos en busca de actividad sospechosa. * Rotar las credenciales referenciadas en `agents.yaml`. **Sysdig** enfatiza que las herramientas de los adversarios se están escalando a todo el ecosistema de IA y agentes, independientemente de su tamaño. La suposición operativa debería ser que la ventana entre la divulgación y la explotación activa ahora se mide en horas de un solo dígito para cualquier proyecto con valores predeterminados no autenticados.