Une faille de contournement d’authentification récemment révélée (CVE-2026-44338) dans PraisonAI a fait l’objet d’une enquête quasi instantanée, exposant les risques liés aux API d’IA non sécurisées par défaut.
Une faille de contournement d’authentification récemment révélée dans le cadre d’orchestration d’IA open source PraisonAI a été sondée par des scanners Internet moins de quatre heures après sa divulgation publique.
Selon les observations de Sysdig, environ trois heures et 44 minutes après la publication d’un avis GitHub, un scanner s’identifiant comme « CVE-Detector/1.0 » parcourait déjà les instances PraisonAI exposées à la recherche de points de terminaison vulnérables exacts.
Le bogue implique un ancien composant de serveur API basé sur Flask « src/praisonai/api_server.py » dans PraisonAI, livré avec l’authentification désactivée par défaut. Le problème affecte les versions 2.5.6 à 4.6.33 et a été corrigé dans la version 4.6.34.
« L’authentification désactivée par défaut dans un serveur API de niveau développement est un anti-modèle connu, et son rayon d’action est limité par les autorisations que l’opérateur a accordées au flux de travail de l’agent », a déclaré Trey Ford, directeur de la stratégie et de la confiance chez Bugcrowd. « Toute organisation qui a accéléré l’adoption des agents IA sans auditer les liaisons réseau, les paramètres d’authentification par défaut et l’exposition des informations d’identification dans les fichiers de configuration des agents est désormais confrontée à un risque qu’elle n’a probablement pas quantifié. »
Sysdig a déclaré qu’un avis GitHub avait été publié vers 13h56 UTC le 11 mai et que l’enquête avait commencé à 17h40 UTC.
L’authentification a été désactivée par défaut
Sysdig a déclaré que le composant vulnérable était un ancien serveur API PraisonAI, où les protections d’authentification étaient effectivement désactivées par conception. Les chercheurs ont noté que tout appelant joignable pouvait interagir avec les flux de travail des agents sans jetons valides.
« PraisonAI fournit un ancien serveur API basé sur Flask qui code en dur ‘AUTH_ENABLED = False’ et ‘AUTH_TOKEN = None' », ont déclaré les chercheurs de Sysdig dans un article de blog. « L’assistant check_auth() renvoie True chaque fois que l’authentification est désactivée, de sorte que les deux routes « protégées » ne s’ouvrent pas de par leur conception. »
La faille, identifiée comme CVE-2026-44338, a reçu un indice de gravité CVSS de 7,3 sur 10, mais elle est considérée comme urgente, étant donné que les attaquants cherchent déjà à l’exploiter. « Tout service d’IA accessible depuis Internet doit être traité comme un actif de production avec des contrôles autour de l’authentification, de la segmentation du réseau et de la surveillance », a déclaré Vineeta Sangaraju, ingénieur de recherche en IA chez Black Duck, exhortant les organisations à appliquer immédiatement les correctifs.
Les chercheurs de Sysdig ont déclaré que le trafic de reconnaissance initial semblait au début générique, ciblant les chemins courants exposés sur Internet tels que /./.env et /admin. Quelques minutes plus tard, cependant, le scanner est passé aux points de terminaison spécifiques à PraisonAI, notamment « /praisonai/version.txt », « /docs », « /api/agents/config » et « /api/agents ».
Les chercheurs ont averti qu’un exploit réussi pourrait dégénérer en violations graves. « Le contournement en lui-même n’est pas une exécution de code arbitraire », ont-ils déclaré. « Mais comme cela supprime l’authentification d’un déclencheur de flux de travail qu’un opérateur a délibérément exposé pour faire quelque chose d’utile, le plafond d’impact correspond à tout ce que ce flux de travail est autorisé à faire. »
Atténuations et recommandations
Sysdig a exhorté les organisations à mettre immédiatement à niveau vers PraisonAI version 4.6.34 ou ultérieure, ce qui supprime le comportement vulnérable des API existantes et introduit des protections d’authentification plus renforcées.
Les chercheurs ont également recommandé de cesser complètement d’utiliser l’ancien point d’entrée « api_server.py », notant que les instances exposées exécutant des configurations plus anciennes restent vulnérables aux tentatives d’accès non authentifiées.
Pour soutenir les efforts de détection, il a été conseillé aux défenseurs de surveiller les requêtes contenant la chaîne user-agent « CVE-Detector/1.0 », ainsi que les requêtes suspectes ciblant /agents, /chat, /api/agents et les points de terminaison MCP associés. « Jusqu’à ce qu’une mise à niveau soit possible, la surveillance de la couche réseau détecte proprement cette classe de trafic car le contournement ne laisse aucun signal d’authentification manquant dans les journaux d’application », ont noté les chercheurs.
