python · praisonaiCrítico
praisonai: AgentOS FastAPI routes permanecem sem autenticação após patch parcial
As rotas GET /api/agents e POST /api/chat do AgentOS FastAPI continuam sem autenticação mesmo na versão publicada como corrigida para GHSA-pm96-6xpr-978x.
O que mudou
As rotas GET /api/agents e POST /api/chat do AgentOS FastAPI continuam sem autenticação mesmo na versão publicada como corrigida para GHSA-pm96-6xpr-978x. Isso permite invocação remota não autenticada de agentes.
Quem isso afeta
Usuários de praisonai versões >= 4.2.1, <= 4.6.57, incluindo v4.5.128 (versão publicada como corrigida) e o branch main atual, que expõem o AgentOS em uma interface acessível.
O que fazer hoje
Aplique autenticação nas rotas do AgentOS ou restrinja o acesso à rede apenas a clientes confiáveis. Atualize para uma versão corrigida quando disponível.
A esteira
Coletado→
Auditado→
Redigido→
Publicado