Cve-2026-44338

Recentemente, uma vulnerabilidade crítica foi identificada no PraisonAI, um framework de orquestração multi-agente de código aberto. A falha, classificada como CVE-2026-44338, possui um escore CVSS de 7.3 e se refere à falta de autenticação, permitindo que qualquer pessoa acesse endpoints sensíveis sem a necessidade de um token. O servidor API legado, baseado em Flask, vem com a autenticação desativada por padrão, expondo funcionalidades protegidas. A exploração dessa vulnerabilidade pode resultar em enumeração não autenticada do arquivo de agentes e ativação de fluxos de trabalho configurados, além de consumo indevido de quotas de modelo/API. A falha afeta todas as versões do pacote Python do PraisonAI, com correção disponível na versão 4.6.34. A Sysdig, empresa de segurança em nuvem, relatou que tentativas de exploração foram observadas apenas quatro horas após a divulgação pública da vulnerabilidade, destacando a rapidez com que atores maliciosos estão adotando novas falhas. Os usuários são aconselhados a aplicar as correções imediatamente, auditar implantações existentes e revisar atividades suspeitas relacionadas ao uso do PraisonAI.