HIGHCVE-2024-8524CVSS 7.5

modelscope/agentscope におけるディレクトリトラバーサル

プラットフォーム

python

コンポーネント

modelscope/agentscope

AI Confidence: highNVDEPSS 0.7%レビュー済み: 2026年5月

CVE-2024-8524は、Pythonライブラリmodelscope/agentscopeのバージョン0.0.4に存在するディレクトリトラバーサル脆弱性です。攻撃者は、悪意のあるPOSTリクエストを/read-examplesエンドポイントに送信することで、システム上の任意のJSONファイルを読み取ることが可能になります。この脆弱性は、機密情報の漏洩につながる可能性があります。影響を受けるバージョンは0.0.4以前です。現時点では公式な修正は提供されていません。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はmodelscope/agentscopeを実行しているシステム上の任意のJSONファイルを読み取ることができます。これにより、APIキー、データベース接続文字列、その他の機密情報が漏洩する可能性があります。攻撃者は、この情報を使用して、システムへのさらなるアクセス権を取得したり、他のシステムへの攻撃を開始したりする可能性があります。特に、JSONファイルに機密情報が保存されている場合、この脆弱性の影響は甚大です。この脆弱性は、機密情報の漏洩、システムへの不正アクセス、さらにはシステム全体の制御喪失につながる可能性があります。

悪用の状況

この脆弱性は2025年3月20日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、ディレクトリトラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。KEV（Known Exploited Vulnerabilities）カタログへの登録状況は不明です。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Organizations using modelscope/agentscope in their Python applications, particularly those deploying it in environments where sensitive data is stored as JSON files, are at risk. This includes developers integrating agentscope into their AI workflows and those using it in shared hosting environments where file system access might be less restricted.

検出手順翻訳中…

• python / server:

import requests

url = 'http://your-target-server/read-examples'
payload = {'file': '..//../../../../etc/passwd'}

response = requests.post(url, data=payload)

if 'root:' in response.text:
    print('Potential vulnerability detected!')
else:
    print('No vulnerability detected.')

• generic web:

curl -X POST http://your-target-server/read-examples -d 'file=../../../../etc/passwd' | grep 'root:'

攻撃タイムライン

2025-03-20Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.67% (71% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントmodelscope/agentscope

ベンダーmodelscope

影響範囲修正版

unspecified – latest—

0.0.4—

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-09-06
公開日2025-03-20
更新日2025-10-15
EPSS 更新日2026-04-02

未パッチ — 公開から430日経過

緩和策と回避策

公式な修正が提供されていないため、一時的な緩和策として、/read-examplesエンドポイントへのアクセスを制限することを推奨します。ファイアウォールまたはプロキシサーバーを使用して、信頼できないソースからのリクエストをブロックすることができます。また、入力の検証を強化し、ディレクトリトラバーサル攻撃を防ぐためのサニタイズ処理を実装することも有効です。WAF（Web Application Firewall）のルールを調整し、悪意のあるリクエストを検知・ブロックするように設定することも検討してください。アクセスログを監視し、異常なアクセスパターンを検出することも重要です。修正版のリリースを注視し、利用可能になり次第速やかに適用してください。

修正方法翻訳中…

Actualice la biblioteca modelscope/agentscope a una versión posterior a 0.0.4 que corrija la vulnerabilidad de path traversal. Esto evitará que atacantes lean archivos JSON locales arbitrarios. Consulte las notas de la versión o el registro de cambios para obtener detalles sobre la corrección.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-8524 — ディレクトリトラバーサルはmodelscope/agentscopeとは何ですか？

CVE-2024-8524は、modelscope/agentscopeのバージョン0.0.4に存在するディレクトリトラバーサル脆弱性です。攻撃者は、/read-examplesエンドポイントに悪意のあるリクエストを送信することで、ローカルのJSONファイルを読み取ることができます。

CVE-2024-8524はmodelscope/agentscopeで影響を受けますか？

はい、modelscope/agentscopeのバージョン0.0.4以前を使用している場合は、この脆弱性の影響を受けます。

CVE-2024-8524はmodelscope/agentscopeをどのように修正しますか？

現時点では公式な修正は提供されていません。一時的な緩和策として、/read-examplesエンドポイントへのアクセスを制限することを推奨します。

CVE-2024-8524は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、注意が必要です。

CVE-2024-8524の公式modelscope/agentscopeアドバイザリはどこで入手できますか？

公式アドバイザリは、modelscopeのGitHubリポジトリまたは関連するセキュリティ情報源で確認してください。