Plataforma
python
Componente
modelscope/agentscope
Se ha identificado una vulnerabilidad de recorrido de directorios en modelscope/agentscope, afectando a versiones hasta la última disponible. Esta falla permite a un atacante, mediante el envío de una solicitud POST cuidadosamente elaborada al endpoint /read-examples, acceder y leer archivos JSON almacenados localmente en el sistema. La vulnerabilidad fue publicada el 20 de marzo de 2025 y se recomienda actualizar a la versión corregida o implementar medidas de mitigación.
La vulnerabilidad de recorrido de directorios en modelscope/agentscope permite a un atacante eludir los controles de acceso y leer archivos JSON arbitrarios en el sistema. Esto podría exponer información confidencial almacenada en estos archivos, como claves de API, contraseñas, configuraciones sensibles o datos de entrenamiento del modelo. Un atacante podría utilizar esta información para comprometer aún más el sistema, obtener acceso no autorizado a recursos o incluso ejecutar código malicioso. La exposición de datos sensibles podría resultar en una pérdida de confidencialidad, integridad y disponibilidad del sistema.
La vulnerabilidad CVE-2024-8524 fue publicada el 20 de marzo de 2025. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de esta redacción. La probabilidad de explotación se considera moderada, dado que la vulnerabilidad permite el acceso a archivos locales y podría ser explotada por atacantes con conocimientos técnicos. Se recomienda monitorear activamente los sistemas afectados en busca de signos de explotación.
Organizations using modelscope/agentscope in their Python applications, particularly those deploying it in environments where sensitive data is stored as JSON files, are at risk. This includes developers integrating agentscope into their AI workflows and those using it in shared hosting environments where file system access might be less restricted.
• python / server:
import requests
url = 'http://your-target-server/read-examples'
payload = {'file': '..//../../../../etc/passwd'}
response = requests.post(url, data=payload)
if 'root:' in response.text:
print('Potential vulnerability detected!')
else:
print('No vulnerability detected.')• generic web:
curl -X POST http://your-target-server/read-examples -d 'file=../../../../etc/passwd' | grep 'root:'disclosure
Estado del Exploit
EPSS
0.67% (71% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-8524 es actualizar a la versión corregida de modelscope/agentscope tan pronto como esté disponible. Si la actualización no es factible de inmediato, se recomienda implementar controles de acceso estrictos al endpoint /read-examples, restringiendo el acceso solo a usuarios y procesos autorizados. Además, se pueden implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes POST maliciosas que intenten manipular la ruta del archivo. Monitorear los logs del sistema en busca de intentos de acceso no autorizados al endpoint /read-examples también es crucial.
Actualice la biblioteca modelscope/agentscope a una versión posterior a 0.0.4 que corrija la vulnerabilidad de path traversal. Esto evitará que atacantes lean archivos JSON locales arbitrarios. Consulte las notas de la versión o el registro de cambios para obtener detalles sobre la corrección.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-8524 is a directory traversal vulnerability in modelscope/agentscope allowing attackers to read local JSON files via the /read-examples endpoint.
You are affected if you are using modelscope/agentscope version 0.0.4 or earlier.
Upgrade to a patched version of modelscope/agentscope as soon as it becomes available. Implement input validation on the /read-examples endpoint as a temporary workaround.
There is currently no indication of active exploitation, but the vulnerability's ease of exploitation warrants prompt mitigation.
Refer to the modelscope/agentscope project's repository or official communication channels for updates and advisories regarding CVE-2024-8524.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.