python · praisonaiagentsCrítico
praisonaiagents: SSRF via searxng_url sem validação
Os parâmetros searxng_url das ferramentas searxng_search e search_web são passados diretamente para requests.
O que mudou
Os parâmetros searxng_url das ferramentas searxng_search e search_web são passados diretamente para requests.get() sem validação de esquema, host ou porta, permitindo SSRF.
Quem isso afeta
Implantações onde agentes usam a ferramenta search_web padrão e ingerem conteúdo de fontes não confiáveis.
O que fazer hoje
Remova ou restrinja o parâmetro searxng_url do schema da ferramenta, ou adicione validação estrita para permitir apenas URLs confiáveis. Considere desabilitar a ferramenta search_web se não for necessária.
A esteira
Coletado→
Auditado→
Redigido→
Publicado