Angriffe auf PraisonAI-Lücke CVE-2026-44338 schon Stunden nach Veröffentlichung

Zusammenfassung

Eine kürzlich veröffentlichte Schwachstelle im Open-Source-Framework PraisonAI ist bereits wenige Stunden nach ihrer Bekanntgabe ins Visier von Angreifern geraten. Bei PraisonAI handelt es sich um ein quelloffenes Framework zur Orchestrierung mehrerer KI-Agenten. Die Sicherheitsfirma Sysdig beobachtete erste Ausnutzungsversuche innerhalb von vier Stunden nach der öffentlichen Offenlegung. Im Zentrum steht CVE-2026-44338 mit einem CVSS-Wert von 7.3, eine fehlende Authentifizierung, die sensible Endpunkte ungeschützt zugänglich macht. Angreifer können dadurch geschützte Funktionen des API-Servers ohne gültigen Token aufrufen. Nach Angaben der Entwickler liefert PraisonAI einen veralteten Flask-basierten API-Server aus, bei dem die Authentifizierung standardmäßig deaktiviert ist. Betroffen sind nach Herstellerangaben alle Versionen des Python-Pakets von 2.5.6 bis 4.6.33; behoben wurde das Problem in Version 4.6.34. Entdeckt und gemeldet hat die Schwachstelle der Sicherheitsforscher Shmulik Cohen. Der Fall fügt sich in einen Trend ein, bei dem Angreifer neu veröffentlichte Schwachstellen immer schneller aufgreifen, bevor Betreiber sie schließen können.

Die Schwachstelle steckt im veralteten Flask-API-Server von PraisonAI. In der Datei src/praisonai/api_server.py sind die Werte AUTH_ENABLED = False und AUTH_TOKEN = None fest hinterlegt. In ihrem Hinweis schreiben die Entwickler: Wird dieser Server eingesetzt, kann jeder, der ihn erreicht, auf den Endpunkt /agents zugreifen und über /chat den in agents.yaml konfigurierten Arbeitsablauf auslösen, ohne einen Token vorzulegen.

Welche Folgen ein erfolgreicher Angriff hat, hängt laut PraisonAI davon ab, was die jeweilige agents.yaml zulässt. Die Authentifizierungsumgehung selbst sei im ausgelieferten Server jedoch bedingungslos gegeben.

Die Sicherheitsfirma Sysdig berichtete in dieser Woche, sie habe Ausnutzungsversuche bereits Stunden nach dem Bekanntwerden beobachtet. Nach Angaben des Unternehmens wurde der Hinweis um 13:56 UTC veröffentlicht; die erste gezielte Anfrage traf am selben Tag um 17:40 UTC ein. Drei Stunden und 44 Minuten nach der Veröffentlichung tastete ein Scanner, der sich selbst als CVE-Detector/1.0 auswies, exakt den verwundbaren Endpunkt auf im Internet erreichbaren Instanzen ab.

Die Aktivität ging laut Sysdig von der IP-Adresse 146.190.133[.]49 aus und folgte dem Muster eines fertig geschnürten Scanners: zwei Durchläufe im Abstand von acht Minuten, pro Durchlauf rund 70 Anfragen in etwa 50 Sekunden. Der erste Durchlauf prüfte allgemeine Pfade wie /.env, /admin, /users/sign_in, /eval, /calculate und /Gemfile.lock. Der zweite Durchlauf nahm gezielt KI-Agenten-Oberflächen ins Visier, darunter PraisonAI.

Die zu CVE-2026-44338 passende Anfrage war laut Sysdig ein einzelnes GET /agents ohne Authorization-Header und mit dem User-Agent CVE-Detector/1.0. Sie liefere den Status 200 OK mit dem Inhalt {“agent_file”:“agents.yaml”,“agents”:[…]} zurück und bestätige damit die erfolgreiche Umgehung. Eine POST-Anfrage an /chat sandte der Scanner in keinem der beiden Durchläufe. Das deutet darauf hin, dass es sich um eine erste Prüfung handelte, ob die Umgehung funktioniert und der Host angreifbar ist.

Betreibern rät Sysdig, die aktuellen Korrekturen umgehend einzuspielen, bestehende Installationen zu überprüfen, die Abrechnung des Modellanbieters auf verdächtige Aktivitäten zu kontrollieren und die in agents.yaml referenzierten Zugangsdaten zu erneuern. Angreiferwerkzeuge erfassten inzwischen das gesamte KI- und Agenten-Ökosystem, unabhängig von der Größe eines Projekts, so Sysdig; für jedes Projekt, das einen Standard ohne Authentifizierung ausliefere, müsse man davon ausgehen, dass zwischen Offenlegung und aktiver Ausnutzung nur wenige Stunden liegen.

Angriffe auf PraisonAI-Lücke CVE-2026-44338 schon Stunden nach Veröffentlichung

Ähnliche Artikel

Neueste Artikel