Se ha observado que los actores de amenazas intentan explotar vulnerabilidades de seguridad recientemente reveladas en PraisonAI, un marco de orquestación de múltiples agentes de código abierto, dentro de las cuatro horas posteriores a su publicación.
La vulnerabilidad en cuestión es CVE-2026-44338 (puntuación CVSS: 7,3), que expone puntos finales sensibles cuando falta la autenticación, lo que permite a un atacante llamar a funciones protegidas del servidor API sin un token.
«PraisonAI enviará un servidor API Flask heredado con la autenticación deshabilitada de forma predeterminada», según un aviso publicado por los mantenedores a principios de este mes. «Si se usa ese servidor, cualquier persona que llame y pueda comunicarse con ese servidor puede acceder a /agents sin proporcionar un token y activar cualquier flujo de trabajo de Agents.yaml configurado a través de /chat».
Específicamente, el servidor API tradicional basado en Flask src/praisonai/api_server.py codifica AUTH_ENABLED = False y AUTH_TOKEN = Ninguno. Según PraisonAI, la explotación exitosa de esta falla podría tener una variedad de impactos, que incluyen:
Enumeración no autenticada de archivos de agentes configurados a través de /agents Activación no autenticada de flujos de trabajo «agents.yaml» configurados localmente a través de /chat Consumo repetido de cuotas de modelo/API y exposición de los resultados de PraisonAI.run() a llamantes no autenticados
«Por lo tanto, el impacto depende de lo que esté permitido en el archivo agent.yaml del operador, pero la omisión de autenticación es incondicional en los servidores heredados enviados», dijo PraisonAI.
Esta vulnerabilidad afecta a todas las versiones del paquete Python desde la 2.5.6 hasta la 4.6.33. Parcheado en la versión 4.6.34. Al investigador de seguridad Shmulik Cohen se le atribuye el descubrimiento y el informe del error.
En un informe publicado esta semana, Sysdig dijo que observó intentos de explotar la falla pocas horas después de que se hiciera público.
«A las 3 horas y 44 minutos de la publicación del aviso, un escáner que se hacía llamar CVE-Detector/1.0 estaba investigando con precisión puntos finales vulnerables en instancias expuestas a Internet», dice el informe. «Este aviso se publicó a las 13:56 UTC (11 de mayo de 2026). La primera solicitud específica se entregó el mismo día a las 17:40 UTC».
Según Sysdig, la actividad se originó en la dirección IP 146.190.133(.)49 y siguió un perfil de escáner empaquetado que realizó dos pases con ocho minutos de diferencia, generando aproximadamente 70 solicitudes en aproximadamente 50 segundos en cada pase.
El primer pase escaneó las rutas de divulgación comunes (/.env, /admin, /users/sign_in, /eval, /calculate, /Gemfile.lock), mientras que el segundo pase identificó específicamente la superficie del agente de IA que contiene PrizeAI.
«La sonda que coincidió directamente con CVE-2026-44338 fue un único GET /agents sin el encabezado Authorization y User-Agent CVE-Detector/1.0», dijo Sysdig. «Esta solicitud devuelve un 200 OK con el cuerpo {«agent_file»:»agents.yaml»,»agents»:(…)}, lo que confirma que la omisión se realizó correctamente».
No vemos que el escáner envíe solicitudes POST al punto final «/chat» en ninguna de las rutas. Esto indica que la actividad es coherente con las comprobaciones iniciales para determinar si la omisión de autenticación funciona y si el host es explotable a través de CVE-2026-44338.
La rápida explotación de PraisonAI es el último ejemplo de una tendencia más amplia en la que los actores de amenazas están incorporando cada vez más fallas recientemente reveladas en sus arsenales antes de que puedan ser reparadas. Recomendamos que los usuarios apliquen las últimas correcciones lo antes posible, auditen las implementaciones existentes, revisen los reclamos de los proveedores de modelos en busca de actividad sospechosa y roten las credenciales a las que se hace referencia en ‘agents.yaml’.
«Las herramientas adversas se están expandiendo más allá de los nombres conocidos a todo el ecosistema de agentes e inteligencia artificial, independientemente de la escala, y el supuesto operativo para los proyectos que envían valores predeterminados no autenticados es que la ventana de tiempo entre la divulgación y la explotación activa debe ser de un solo dígito», dijo Sysdig.
Source link
