I mai var problemet at PraisonAI ikke sjekket hvem som ringte. Nå er problemet at rammeverket ikke sjekker hva de sender. CVE-2026-60090 ble publisert 11. juli, er vurdert til 9,8 av 10 på CVSS-skalaen, og ligger i create_collection() i knowledge-store-backendene for PGVector og Cassandra, ifølge The Hacker Wire.
Feilen er liten og velkjent. Argumentet dimension skal være et heltall, men typen håndheves ikke ved kjøretid. Sender du en streng, blir den interpolert rett inn i vektorkolonne-definisjonen i CREATE TABLE-setningen som genereres. De andre identifikatorene (schema, keyspace, collection-name) valideres, men dimension slipper unna sjekkene. Advisoryen viser hva det betyr: verdien 3); DROP TABLE tenant_secrets; -- avslutter den opprinnelige setningen, kjører DROP TABLE, og kommenterer bort resten av DDL-en.
CVSS-vektoren sier ingen autentisering, lav kompleksitet og ingen brukerinteraksjon. Det forutsetter at angriperen når PraisonAI-instansen over nettverket og kan påvirke dimension-verdien når en collection opprettes. Det er ingen fjern antakelse for et multi-agent-rammeverk som ofte kjøres bak et tynt API-lag. Noen offentlig PoC finnes ikke ennå, men da autentiseringshullet CVE-2026-44338 ble kjent i mai, tok det tre timer og 44 minutter før en skanner sonderte eksponerte PraisonAI-instanser.
Hva bør du gjøre?
- Oppgrader til PraisonAI 4.6.78 eller nyere. Alle versjoner før den er berørt.
- Sjekk om instansen din er eksponert mot nettet i det hele tatt. Et agent-rammeverk trenger sjelden å være det.
- Tving typen selv hvis du kaller create_collection() fra egen kode. Et int()-kall på dimension før kallet stopper hele feilklassen.