### Exploitation rapide de la vulnérabilité PraisonAI Les chercheurs en sécurité ont observé des acteurs malveillants exploitant activement **CVE-2026-44338**, une vulnérabilité critique dans **PraisonAI**. Cette faille permet un accès non authentifié à des points d'accès sensibles, permettant potentiellement aux attaquants d'invoquer les fonctionnalités protégées du serveur API sans autorisation appropriée. ### Détails du contournement d'authentification CVE-2026-44338 La vulnérabilité, suivie sous la référence **CVE-2026-44338** (score CVSS : 7.3), découle d'un contrôle d'authentification manquant. Selon un avis de sécurité, **PraisonAI** est livré avec un serveur API Flask hérité pour lequel l'authentification est désactivée par défaut. Cela signifie que tout appelant capable d'atteindre le serveur peut accéder à `/agents` et déclencher le workflow configuré `agents.yaml` via `/chat` sans avoir besoin d'un token. Le serveur API hérité basé sur Flask (`src/praisonai/api_server.py`) contient en dur `AUTH_ENABLED = False` et `AUTH_TOKEN = None`. L'exploitation réussie peut entraîner : * L'énumération non authentifiée du fichier d'agents configuré via `/agents` * Le déclenchement non authentifié du workflow `agents.yaml` configuré localement via `/chat` * La consommation répétée du quota de modèle/API * L'exposition des résultats de `PraisonAI.run()` à l'appelant non authentifié L'impact varie en fonction de la configuration `agents.yaml` de l'opérateur, mais le contournement d'authentification est inconditionnel dans le serveur hérité fourni. ### Versions affectées et atténuation La vulnérabilité affecte toutes les versions du package Python de 2.5.6 à 4.6.33. Un correctif est disponible dans la version 4.6.34. Le mérite de la découverte et du signalement de la vulnérabilité revient au chercheur en sécurité Shmulik Cohen. ### Exploitation réelle observée **Sysdig** a signalé avoir observé des tentatives d'exploitation dans les heures suivant la divulgation publique de la vulnérabilité. « Trois heures et 44 minutes après la publication de l'avis, un scanner s'identifiant comme CVE-Detector/1.0 sondait le point d'accès vulnérable exact sur des instances exposées sur Internet », a déclaré **Sysdig**. « L'avis a été publié [le 11 mai 2026] à 13h56 UTC. La première requête ciblée a été reçue à 17h40 UTC le même jour. » L'activité provenait de l'adresse IP 146.190.133[.]49 et suivait un profil de scanner packagé, effectuant deux passes avec environ 70 requêtes chacune. ### Comportement du scanner et implications La première passe a scanné des chemins de divulgation génériques, tandis que la seconde a spécifiquement ciblé les surfaces d'agents IA, y compris **PraisonAI**. La sonde correspondant à **CVE-2026-44338** était une requête `GET /agents` sans en-tête d'autorisation, confirmant le succès du contournement. Le scanner n'a envoyé aucune requête `POST` vers le point d'accès `/chat`, suggérant une vérification initiale pour confirmer le contournement d'authentification et l'exploitabilité. ### Recommandations pour les professionnels de la sécurité L'exploitation rapide de la faille **PraisonAI** souligne la nécessité d'un patching rapide et de mesures de sécurité proactives. Il est crucial de : * Appliquer les derniers correctifs dès que possible. * Auditer les déploiements existants pour les versions vulnérables. * Examiner la facturation des fournisseurs de modèles pour toute activité suspecte. * Faire pivoter les identifiants référencés dans `agents.yaml`. **Sysdig** souligne que les outils des adversaires s'adaptent à l'ensemble de l'écosystème IA et des agents, quelle que soit leur taille. L'hypothèse de travail devrait être que la fenêtre entre la divulgation et l'exploitation active est désormais mesurée en heures à un chiffre pour tout projet présentant des valeurs par défaut non authentifiées.