Plataforma
python
Componente
agentscope
Corregido en
0.0.5
Se ha identificado una vulnerabilidad de Path Traversal en Agentscope, específicamente en la versión 0.0.4 y anteriores. Esta falla permite a un atacante acceder a archivos sensibles en el servidor a través de la manipulación del parámetro path en la API /api/file. La explotación exitosa de esta vulnerabilidad podría resultar en la divulgación de información confidencial y comprometer la integridad del sistema. Se recomienda actualizar a la versión corregida lo antes posible.
La vulnerabilidad de Path Traversal en Agentscope permite a un atacante leer cualquier archivo al que el proceso de la API tenga acceso. Esto incluye archivos de configuración, claves de API, código fuente y datos sensibles. Un atacante podría utilizar esta vulnerabilidad para obtener información sobre la infraestructura subyacente, comprometer la autenticación y autorización, o incluso ejecutar código malicioso si se encuentran archivos ejecutables accesibles. El impacto potencial es significativo, especialmente si el servidor aloja información crítica o se utiliza para procesar datos confidenciales. La falta de validación adecuada del parámetro path es la causa raíz de este problema, permitiendo la inyección de secuencias como ../ para navegar fuera del directorio previsto.
Esta vulnerabilidad fue publicada el 20 de marzo de 2025. No se ha reportado su explotación activa en campañas conocidas. No se encuentra en el KEV de CISA. Se desconoce la existencia de un Proof of Concept (PoC) público, lo que sugiere un riesgo menor de explotación inmediata, aunque la vulnerabilidad sigue siendo significativa debido a su potencial impacto.
Organizations deploying Agentscope in production environments, particularly those with sensitive data stored on the same server, are at risk. Environments with weak access controls or inadequate input validation practices are especially vulnerable. Shared hosting environments where Agentscope is installed alongside other applications could also be affected if the vulnerability is exploited to gain access to other tenants' data.
• python / agentscope:
import requests
import os
url = 'http://your-agentscope-server/api/file' # Replace with your server
try:
# Attempt to read a sensitive file
response = requests.get(url + '?path=/etc/passwd')
if response.status_code == 200:
print('Potential Path Traversal Detected!')
print(response.text)
else:
print('No Path Traversal Detected.')
except requests.exceptions.RequestException as e:
print(f'Error: {e}')• generic web:
curl 'http://your-agentscope-server/api/file?path=../../../../etc/passwd' -s | grep 'root:'disclosure
Estado del Exploit
EPSS
0.19% (41% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Agentscope a una versión corregida, una vez que esté disponible. Mientras tanto, se pueden implementar medidas de seguridad adicionales para reducir el riesgo. Restrinja el acceso a la API /api/file solo a usuarios y aplicaciones autorizadas. Implemente controles de acceso estrictos en el servidor para limitar el acceso a archivos sensibles. Considere la posibilidad de utilizar un Web Application Firewall (WAF) para filtrar solicitudes maliciosas que intenten explotar la vulnerabilidad. Revise y fortalezca la validación de entrada en la API /api/file para prevenir la inyección de secuencias de Path Traversal. Monitoree los registros del servidor en busca de intentos de acceso no autorizados a archivos.
Actualice la biblioteca modelscope/agentscope a una versión posterior a la 0.0.4 que corrija la vulnerabilidad de path traversal. Consulte las notas de la versión o el registro de cambios para obtener más detalles sobre la corrección. Si no hay una versión corregida disponible, considere aplicar un parche temporal para validar y limpiar el parámetro 'path' antes de usarlo para acceder a archivos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-8438 is a Path Traversal vulnerability in Agentscope versions up to 0.0.4, allowing attackers to read arbitrary files on the server via the /api/file endpoint.
You are affected if you are using Agentscope version 0.0.4 or earlier. Upgrade to a patched version as soon as possible.
The primary fix is to upgrade to a patched version of Agentscope. Until then, implement WAF rules and strict input validation on the /api/file endpoint.
There is currently no evidence of CVE-2024-8438 being actively exploited, but the vulnerability poses a significant risk.
Refer to the Agentscope project's official repository or website for updates and advisories related to CVE-2024-8438.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.