प्लेटफ़ॉर्म
python
घटक
agentscope
में ठीक किया गया
0.0.5
CVE-2024-8438 Agentscope में एक पथ पारगमन भेद्यता है, जो हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देता है। यह भेद्यता Agentscope के v0.0.4 से कम या उसके बराबर संस्करणों को प्रभावित करती है। हमलावर /api/file API एंडपॉइंट के माध्यम से इस भेद्यता का फायदा उठा सकते हैं। इस समस्या को हल करने के लिए, Agentscope को नवीनतम संस्करण में अपडेट करने की अनुशंसा की जाती है।
यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है, जिसमें कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड और संवेदनशील डेटा शामिल हो सकते हैं। एक हमलावर इस भेद्यता का उपयोग सर्वर पर नियंत्रण हासिल करने, डेटा चोरी करने या अन्य दुर्भावनापूर्ण गतिविधियाँ करने के लिए कर सकता है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि यह बिना किसी प्रमाणीकरण के शोषण योग्य है, जिसका अर्थ है कि कोई भी हमलावर इसका फायदा उठा सकता है। इस भेद्यता का उपयोग करके, हमलावर संवेदनशील जानकारी उजागर कर सकते हैं, सिस्टम को समझौता कर सकते हैं, या सर्वर पर मनमाना कोड निष्पादित कर सकते हैं।
CVE-2024-8438 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन यह सार्वजनिक रूप से ज्ञात है और इसका शोषण किया जा सकता है। इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन भेद्यता की प्रकृति को देखते हुए, यह संभव है कि जल्द ही एक PoC जारी किया जाएगा। यह भेद्यता KEV में शामिल नहीं है, और इसका EPSS स्कोर अभी तक निर्धारित नहीं किया गया है।
Organizations deploying Agentscope in production environments, particularly those with sensitive data stored on the same server, are at risk. Environments with weak access controls or inadequate input validation practices are especially vulnerable. Shared hosting environments where Agentscope is installed alongside other applications could also be affected if the vulnerability is exploited to gain access to other tenants' data.
• python / agentscope:
import requests
import os
url = 'http://your-agentscope-server/api/file' # Replace with your server
try:
# Attempt to read a sensitive file
response = requests.get(url + '?path=/etc/passwd')
if response.status_code == 200:
print('Potential Path Traversal Detected!')
print(response.text)
else:
print('No Path Traversal Detected.')
except requests.exceptions.RequestException as e:
print(f'Error: {e}')• generic web:
curl 'http://your-agentscope-server/api/file?path=../../../../etc/passwd' -s | grep 'root:'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.19% (41% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-8438 को कम करने के लिए, Agentscope को नवीनतम संस्करण में अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी उपाय के रूप में, /api/file एंडपॉइंट के लिए इनपुट सत्यापन लागू किया जा सकता है ताकि यह सुनिश्चित किया जा सके कि path पैरामीटर में केवल अपेक्षित वर्ण शामिल हैं। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक किया जा सकता है। WAF नियमों को /api/file एंडपॉइंट में path पैरामीटर में पथ पारगमन पैटर्न की तलाश करने के लिए कॉन्फ़िगर किया जाना चाहिए। अपग्रेड के बाद, यह सत्यापित करें कि /api/file एंडपॉइंट अब पथ पारगमन हमलों के लिए असुरक्षित नहीं है।
Actualice la biblioteca modelscope/agentscope a una versión posterior a la 0.0.4 que corrija la vulnerabilidad de path traversal. Consulte las notas de la versión o el registro de cambios para obtener más detalles sobre la corrección. Si no hay una versión corregida disponible, considere aplicar un parche temporal para validar y limpiar el parámetro 'path' antes de usarlo para acceder a archivos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-8438 Agentscope में एक भेद्यता है जो हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है। /api/file एंडपॉइंट में path पैरामीटर को ठीक से सैनिटाइज नहीं किया गया है।
यदि आप Agentscope के v0.0.4 से कम या उसके बराबर संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2024-8438 को ठीक करने के लिए, Agentscope को नवीनतम संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो /api/file एंडपॉइंट के लिए इनपुट सत्यापन लागू करें।
CVE-2024-8438 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन यह सार्वजनिक रूप से ज्ञात है और इसका शोषण किया जा सकता है।
आधिकारिक Agentscope सलाहकार के लिए, कृपया Agentscope वेबसाइट या GitHub रिपॉजिटरी देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।