CRITICAL🇬🇧 English

CVE-2026-40313

PraisonAI – wyciek tokenów GitHub przez atak ArtiPACKED w CI/CD

CVSS 9.1v3.1pub. 2026-04-14upd. 2026-04-20

Wersje PraisonAI 4.5.139 i wcześniejsze są podatne na atak ArtiPACKED, polegający na niezamierzonym ujawnieniu tokenów uwierzytelniających GitHub (GITHUB_TOKEN, ACTIONS_RUNTIME_TOKEN) w artefaktach pipeline'u CI/CD. Podatność ta umożliwia każdemu użytkownikowi z dostępem do odczytu publicznego repozytorium przejęcie tych tokenów i przeprowadzenie pełnego kompromitacji łańcucha dostaw.

Pokaż oryginał (EN)

PraisonAI is a multi-agent teams system. In versions 4.5.139 and below, the GitHub Actions workflows are vulnerable to ArtiPACKED attack, a known credential leakage vector caused by using actions/checkout without setting persist-credentials: false. By default, actions/checkout writes the GITHUB_TOKEN (and sometimes ACTIONS_RUNTIME_TOKEN) into the .git/config file for persistence, and if any subsequent workflow step uploads artifacts (build outputs, logs, test results, etc.), these tokens can be inadvertently included. Since PraisonAI is a public repository, any user with read access can download these artifacts and extract the leaked tokens, potentially enabling an attacker to push malicious code, poison releases and PyPI/Docker packages, steal repository secrets, and execute a full supply chain compromise affecting all downstream users. The issue spans numerous workflow and action files across .github/workflows/ and .github/actions/. This issue has been fixed in version 4.5.140.

🤖 Analiza AI
Jak działa

Problem wynika z użycia akcji actions/checkout bez ustawienia opcji persist-credentials: false. Domyślnie akcja ta zapisuje GITHUB_TOKEN (a niekiedy ACTIONS_RUNTIME_TOKEN) do pliku .git/config w celu zachowania sesji uwierzytelniania. Jeśli kolejne kroki workflow przesyłają artefakty (wyniki buildów, logi, wyniki testów itp.), pliki te mogą zawierać wspomniane tokeny. Ponieważ PraisonAI jest publicznym repozytorium, dowolna osoba może pobrać te artefakty i wyekstrahować z nich ważne tokeny uwierzytelniające. Problem obejmuje wiele plików workflow i akcji w katalogach .github/workflows/ oraz .github/actions/.

Skutki

Atakujący, który uzyska token, może wypychać złośliwy kod do repozytorium, zatruwać wydania oraz pakiety PyPI i Docker, kraść tajemnice repozytorium, a w konsekwencji przeprowadzić pełny atak na łańcuch dostaw, dotykający wszystkich użytkowników korzystających z pakietów PraisonAI.

Mitygacja

Należy zaktualizować PraisonAI do wersji 4.5.140, w której problem został naprawiony. Dodatkowo zaleca się stosowanie opcji persist-credentials: false we wszystkich wywołaniach actions/checkout w pipeline'ach CI/CD oraz regularne audytowanie artefaktów workflow pod kątem obecności poufnych danych.

Kogo dotyczy

PraisonAI (Praison Praisonai) w wersjach 4.5.139 i wcześniejszych

Uwagi

Podatność sklasyfikowana jako CWE-829 (włączenie funkcjonalności z niezaufanego zakresu sterowania). Technika ataku ArtiPACKED jest opisana przez Unit 42 (Palo Alto Networks) i dotyczy szerszej klasy podatności w repozytoriach GitHub korzystających z actions/checkout bez wyłączenia utrwalania poświadczeń.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Praison Praisonai

    APP
    Praison
    < 4.5.140
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
CI/CDContainer
CWE
Referencje

Powiązane podatności

CVE-2026-44336CRITICAL9.4PL ✓ten sam produkt

Path Traversal i RCE w PraisonAI MCP Server (serwer narzędzi plikowych)

CVE-2026-41497CRITICAL9.8PL ✓ten sam produkt

Command Injection w PraisonAI — brak walidacji poleceń MCP

CVE-2026-40288CRITICAL9.8PL ✓ten sam produkt

PraisonAI — RCE i command injection przez niezaufowane pliki YAML

CVE-2026-40289CRITICAL9.1PL ✓ten sam produkt

PraisonAI – nieuwierzytelnione przejęcie sesji przeglądarki przez WebSocket

CVE-2026-40157CRITICAL9.4PL ✓ten sam produkt

Path traversal w PraisonAI — nadpisywanie plików przez złośliwy pakiet .praison