La vulnerabilidad crítica de ausencia de autenticación CVE-2026-44338 (CVSS 7.3) en el framework abierto de orquestación multiagente PraisonAI se convirtió en objeto de escaneos activos en menos de cuatro horas tras la publicación del aviso. La vulnerabilidad afecta a las versiones desde la 2.5.6 hasta la 4.6.33 y permite que cualquier cliente de red sin token acceda a endpoints protegidos del servidor API, incluido el listado de agentes y la ejecución de flujos de trabajo. La corrección está disponible en la versión 4.6.34; se recomienda actualizar de inmediato.

Aspectos técnicos de la vulnerabilidad

Según el aviso de seguridad de GitHub, el problema reside en un servidor API obsoleto basado en Flask, ubicado en el archivo src/praisonai/api_server.py. En este servidor, los parámetros de autenticación están codificados de forma rígida como AUTH_ENABLED = False y AUTH_TOKEN = None. En la práctica, la autenticación está desactivada por defecto y la omisión es incondicional: no depende de la configuración del operador.

Al utilizar este servidor obsoleto, cualquier cliente con acceso de red a la instancia puede:

• Obtener la lista de agentes configurados a través del endpoint /agents sin autenticación
• Ejecutar un flujo de trabajo descrito en agents.yaml mediante el endpoint /chat
• Consumir repetidamente la cuota del modelo o del proveedor de API
• Obtener los resultados de la ejecución de PraisonAI.run()

El impacto real depende directamente de qué acciones estén permitidas en la configuración agents.yaml de cada despliegue concreto. Si los agentes tienen acceso a sistemas internos, bases de datos o API externas con claves privilegiadas, las consecuencias pueden ser significativamente más graves que una simple filtración de la configuración. La vulnerabilidad fue descubierta por el investigador de seguridad Shmulik Cohen (Шмулик Коэн).

Actividad de escaneo observada

Según la empresa Sysdig, que registró la actividad de escaneo, el aviso se publicó el 11 de mayo de 2026 a las 13:56 UTC. La primera petición dirigida al endpoint vulnerable se produjo a las 17:40 UTC del mismo día, es decir, 3 horas y 44 minutos después.

El escáner, que se identificó como CVE-Detector/1.0, operaba desde la dirección IP 146.190.133[.]49 y realizó dos pasadas con un intervalo de ocho minutos. Cada pasada generó aproximadamente 70 solicitudes en 50 segundos:

• Primera pasada: escaneo de rutas típicas de divulgación de información: /.env, /admin, /users/sign_in, /eval, /calculate, /Gemfile.lock
• Segunda pasada: escaneo dirigido de superficies de ataque específicas de agentes de IA, incluyendo PraisonAI

La petición clave asociada a CVE-2026-44338 fue un GET /agents sin cabecera Authorization y con el User-Agent CVE-Detector/1.0. Según indica Sysdig, el servidor devolvió 200 OK con un cuerpo de respuesta que contenía la configuración de los agentes, lo que confirmó el bypass de autenticación con éxito.

Es importante señalar: según los datos de Sysdig, no se registraron solicitudes POST al endpoint /chat. Esto indica un carácter de reconocimiento de la actividad, centrado en identificar hosts vulnerables sin intentar ejecutar flujos de trabajo. No obstante, debe tenerse en cuenta que estas observaciones se basan en la telemetría de una única fuente y no han sido corroboradas de forma independiente por otros investigadores ni por CISA.

Evaluación del impacto

El perfil de escaneo en dos fases merece una atención especial. La combinación de rutas clásicas de reconocimiento de aplicaciones web con un escaneo dirigido de la infraestructura de IA indica que las herramientas de los atacantes se están adaptando al ecosistema de agentes de IA. Los frameworks de orquestación de agentes como PraisonAI suelen desplegarse con acceso a claves de API de modelos de lenguaje, servicios internos y datos confidenciales, lo que los convierte en un objetivo atractivo.

Las organizaciones más expuestas al riesgo son aquellas que:

• Han desplegado PraisonAI con el servidor Flask API obsoleto accesible desde Internet
• Utilizan configuraciones agents.yaml con claves de API privilegiadas o acceso a recursos internos
• No han actualizado PraisonAI a la versión 4.6.34

En caso de explotación con éxito, un atacante puede no solo obtener la configuración de los agentes, sino también lanzar flujos de trabajo arbitrarios, lo que podría provocar el consumo de cuotas de los proveedores de API, la filtración de datos a través de los resultados de ejecución de los agentes o el uso de la infraestructura de la víctima como nodo intermedio para ataques posteriores.

Recomendaciones de respuesta

1. Actualice de inmediato PraisonAI a la versión 4.6.34 o superior
2. Realice una auditoría de los despliegues: verifique si se está utilizando el servidor Flask API obsoleto (api_server.py) y si es accesible desde redes externas
3. Revise los registros en busca de solicitudes a /agents y /chat sin cabecera Authorization, especialmente con el User-Agent CVE-Detector/1.0 o desde la dirección IP 146.190.133[.]49
4. Rote las credenciales: todas las claves de API y tokens indicados en agents.yaml deben considerarse potencialmente comprometidos y sustituirse
5. Revise la facturación con los proveedores de modelos de lenguaje para detectar consumos anómalos de cuota
6. Restrinja el acceso de red al servidor API de PraisonAI mediante segmentación de red o firewall

El caso de CVE-2026-44338 demuestra que la ventana entre la publicación de un aviso de seguridad y el inicio del escaneo masivo de infraestructuras de IA se mide en horas. Cualquier proyecto que se distribuya con la autenticación desactivada por defecto y sea accesible desde la red será localizado y probado por herramientas automatizadas prácticamente de inmediato. La acción prioritaria es actualizar a la versión 4.6.34 y, a continuación, rotar todos los secretos referenciados en la configuración de los agentes.