प्लेटफ़ॉर्म
python
घटक
modelscope/agentscope
modelscope/agentscope के संस्करण 0.0.4 में एक Directory Traversal भेद्यता मौजूद है। यह भेद्यता हमलावरों को एक तैयार POST अनुरोध भेजकर स्थानीय JSON फ़ाइलों को पढ़ने की अनुमति देती है। प्रभावित संस्करण 0.0.4 और उससे पहले के सभी संस्करण हैं। सुरक्षा अपडेट जारी किया गया है, और उपयोगकर्ताओं को तुरंत अपडेट करने की सलाह दी जाती है।
यह Directory Traversal भेद्यता मॉडलस्कोप/एजेंटस्कोप के /read-examples एंडपॉइंट के माध्यम से संवेदनशील जानकारी तक अनधिकृत पहुंच की अनुमति देती है। हमलावर स्थानीय JSON फ़ाइलों की सामग्री को पढ़ सकते हैं, जिसमें कॉन्फ़िगरेशन डेटा, API कुंजियाँ या अन्य गोपनीय जानकारी शामिल हो सकती है। यदि JSON फ़ाइलों में संवेदनशील डेटा होता है, तो इसका उपयोग आगे के हमलों को लॉन्च करने या डेटा उल्लंघनों का कारण बनने के लिए किया जा सकता है। इस भेद्यता का उपयोग सिस्टम पर नियंत्रण हासिल करने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए भी किया जा सकता है।
CVE-2024-8524 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसकी सार्वजनिक प्रकृति के कारण इसका शोषण होने की संभावना है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, जो हमलावरों के लिए इस भेद्यता का फायदा उठाना आसान बनाते हैं। CISA ने अभी तक इस CVE को KEV में नहीं जोड़ा है।
Organizations using modelscope/agentscope in their Python applications, particularly those deploying it in environments where sensitive data is stored as JSON files, are at risk. This includes developers integrating agentscope into their AI workflows and those using it in shared hosting environments where file system access might be less restricted.
• python / server:
import requests
url = 'http://your-target-server/read-examples'
payload = {'file': '..//../../../../etc/passwd'}
response = requests.post(url, data=payload)
if 'root:' in response.text:
print('Potential vulnerability detected!')
else:
print('No vulnerability detected.')• generic web:
curl -X POST http://your-target-server/read-examples -d 'file=../../../../etc/passwd' | grep 'root:'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.67% (71% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-8524 को कम करने के लिए, मॉडलस्कोप/एजेंटस्कोप को नवीनतम संस्करण में तुरंत अपडेट करें जिसमें इस भेद्यता के लिए एक फिक्स शामिल है। यदि अपडेट करना संभव नहीं है, तो /read-examples एंडपॉइंट तक पहुंच को सीमित करने के लिए एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करें। सुनिश्चित करें कि फ़ाइल एक्सेस अनुमतियाँ उचित रूप से कॉन्फ़िगर की गई हैं और केवल अधिकृत उपयोगकर्ताओं को ही संवेदनशील फ़ाइलों तक पहुंचने की अनुमति है। इनपुट सत्यापन और सैनिटाइजेशन लागू करें ताकि दुर्भावनापूर्ण अनुरोधों को रोका जा सके।
Actualice la biblioteca modelscope/agentscope a una versión posterior a 0.0.4 que corrija la vulnerabilidad de path traversal. Esto evitará que atacantes lean archivos JSON locales arbitrarios. Consulte las notas de la versión o el registro de cambios para obtener detalles sobre la corrección.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-8524 modelscope/agentscope के संस्करण 0.0.4 में एक Directory Traversal भेद्यता है जो हमलावरों को स्थानीय JSON फ़ाइलों को पढ़ने की अनुमति देती है।
यदि आप modelscope/agentscope के संस्करण 0.0.4 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2024-8524 को ठीक करने के लिए, modelscope/agentscope को नवीनतम संस्करण में तुरंत अपडेट करें जिसमें इस भेद्यता के लिए एक फिक्स शामिल है।
CVE-2024-8524 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसकी सार्वजनिक प्रकृति के कारण इसका शोषण होने की संभावना है।
कृपया मॉडलस्कोप टीम के आधिकारिक चैनलों से अपडेट की जांच करें, जैसे कि उनकी वेबसाइट या GitHub रिपॉजिटरी।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।