Platform
python
Component
agentscope
Opgelost in
0.0.5
CVE-2024-8438 beschrijft een Path Traversal kwetsbaarheid in Agentscope, een Python-gebaseerd project. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op de server te lezen door de path parameter in de /api/file API endpoint te manipuleren. De kwetsbaarheid treft Agentscope versies 0.0.4 en lager. Een patch is beschikbaar en wordt sterk aanbevolen.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de server waarop Agentscope draait. Dit omvat potentieel configuratiebestanden, broncode, logbestanden en andere kritieke data. Afhankelijk van de bestanden die toegankelijk zijn, kan een aanvaller de server verder compromitteren, gevoelige informatie stelen of zelfs de controle over de server overnemen. De impact is vergelijkbaar met andere Path Traversal kwetsbaarheden waarbij de toegang tot het bestandssysteem wordt misbruikt.
Deze kwetsbaarheid is openbaar gemaakt op 2025-03-20. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de eenvoud van de exploitatie maakt het een aantrekkelijk doelwit. Er zijn geen publieke Proof-of-Concept (PoC) exploits beschikbaar op het moment van schrijven, maar de kwetsbaarheid is eenvoudig te exploiteren, wat het risico vergroot. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus.
Organizations deploying Agentscope in production environments, particularly those with sensitive data stored on the same server, are at risk. Environments with weak access controls or inadequate input validation practices are especially vulnerable. Shared hosting environments where Agentscope is installed alongside other applications could also be affected if the vulnerability is exploited to gain access to other tenants' data.
• python / agentscope:
import requests
import os
url = 'http://your-agentscope-server/api/file' # Replace with your server
try:
# Attempt to read a sensitive file
response = requests.get(url + '?path=/etc/passwd')
if response.status_code == 200:
print('Potential Path Traversal Detected!')
print(response.text)
else:
print('No Path Traversal Detected.')
except requests.exceptions.RequestException as e:
print(f'Error: {e}')• generic web:
curl 'http://your-agentscope-server/api/file?path=../../../../etc/passwd' -s | grep 'root:'disclosure
Exploit Status
EPSS
0.19% (41% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar een beveiligde versie van Agentscope zodra deze beschikbaar is. Totdat de upgrade mogelijk is, kan een tijdelijke oplossing bestaan uit het implementeren van strenge inputvalidatie op de /api/file endpoint. Dit omvat het whitelisten van toegestane bestandsnamen en het verifiëren dat de path parameter niet begint of eindigt met .. of andere padtraversal-sequenties. Het configureren van een Web Application Firewall (WAF) om padtraversal-pogingen te blokkeren is een andere optie. Controleer ook de Agentscope configuratie op onnodige rechten.
Actualice la biblioteca modelscope/agentscope a una versión posterior a la 0.0.4 que corrija la vulnerabilidad de path traversal. Consulte las notas de la versión o el registro de cambios para obtener más detalles sobre la corrección. Si no hay una versión corregida disponible, considere aplicar un parche temporal para validar y limpiar el parámetro 'path' antes de usarlo para acceder a archivos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-8438 is a Path Traversal vulnerability in Agentscope versions up to 0.0.4, allowing attackers to read arbitrary files on the server via the /api/file endpoint.
You are affected if you are using Agentscope version 0.0.4 or earlier. Upgrade to a patched version as soon as possible.
The primary fix is to upgrade to a patched version of Agentscope. Until then, implement WAF rules and strict input validation on the /api/file endpoint.
There is currently no evidence of CVE-2024-8438 being actively exploited, but the vulnerability poses a significant risk.
Refer to the Agentscope project's official repository or website for updates and advisories related to CVE-2024-8438.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.