Plateforme
python
Composant
agentscope
Corrigé dans
0.0.5
Une vulnérabilité de traversal de chemin a été découverte dans Agentscope, affectant les versions inférieures ou égales à 0.0.4. Cette faille permet à un attaquant de lire des fichiers arbitraires sur le serveur en manipulant le paramètre path de l'API /api/file. Il est crucial de mettre à jour Agentscope vers une version corrigée ou d'appliquer des mesures de mitigation pour réduire le risque d'exploitation.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'accéder à des informations sensibles stockées sur le serveur, telles que des fichiers de configuration, des clés API, ou des données confidentielles. L'attaquant pourrait potentiellement compromettre l'intégrité du système et voler des informations sensibles. La surface d'attaque est relativement large, car toute personne ayant accès à l'API /api/file peut tenter d'exploiter cette faille. Bien qu'il n'y ait pas de cas d'exploitation publique connus à ce jour, la simplicité de l'exploitation rend cette vulnérabilité particulièrement préoccupante.
Cette vulnérabilité a été publiée le 20 mars 2025. Il n'y a pas d'indication d'une exploitation active à ce jour, ni d'ajout au KEV de CISA. Un proof-of-concept public n'est pas encore disponible, mais la nature simple de la vulnérabilité suggère qu'il pourrait être développé rapidement.
Organizations deploying Agentscope in production environments, particularly those with sensitive data stored on the same server, are at risk. Environments with weak access controls or inadequate input validation practices are especially vulnerable. Shared hosting environments where Agentscope is installed alongside other applications could also be affected if the vulnerability is exploited to gain access to other tenants' data.
• python / agentscope:
import requests
import os
url = 'http://your-agentscope-server/api/file' # Replace with your server
try:
# Attempt to read a sensitive file
response = requests.get(url + '?path=/etc/passwd')
if response.status_code == 200:
print('Potential Path Traversal Detected!')
print(response.text)
else:
print('No Path Traversal Detected.')
except requests.exceptions.RequestException as e:
print(f'Error: {e}')• generic web:
curl 'http://your-agentscope-server/api/file?path=../../../../etc/passwd' -s | grep 'root:'disclosure
Statut de l'Exploit
EPSS
0.19% (percentile 41%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour Agentscope vers une version corrigée dès qu'elle sera disponible. En attendant, il est possible de limiter l'impact en configurant un pare-feu pour bloquer l'accès non autorisé à l'API /api/file. Une autre approche consiste à implémenter une validation stricte du paramètre path dans le code de l'API, en s'assurant que les chemins d'accès sont limités à un répertoire spécifique et sécurisé. Il est également recommandé de surveiller les journaux d'accès pour détecter toute tentative d'accès suspecte à l'API.
Actualice la biblioteca modelscope/agentscope a una versión posterior a la 0.0.4 que corrija la vulnerabilidad de path traversal. Consulte las notas de la versión o el registro de cambios para obtener más detalles sobre la corrección. Si no hay una versión corregida disponible, considere aplicar un parche temporal para validar y limpiar el parámetro 'path' antes de usarlo para acceder a archivos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-8438 is a Path Traversal vulnerability in Agentscope versions up to 0.0.4, allowing attackers to read arbitrary files on the server via the /api/file endpoint.
You are affected if you are using Agentscope version 0.0.4 or earlier. Upgrade to a patched version as soon as possible.
The primary fix is to upgrade to a patched version of Agentscope. Until then, implement WAF rules and strict input validation on the /api/file endpoint.
There is currently no evidence of CVE-2024-8438 being actively exploited, but the vulnerability poses a significant risk.
Refer to the Agentscope project's official repository or website for updates and advisories related to CVE-2024-8438.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.