Platform
python
Component
modelscope/agentscope
CVE-2024-8524 beschrijft een Directory Traversal kwetsbaarheid in modelscope/agentscope, waardoor ongeautoriseerde toegang tot lokale JSON bestanden mogelijk is. Deze kwetsbaarheid kan worden misbruikt door een aanvaller om gevoelige informatie te extraheren. De kwetsbaarheid treft versies van modelscope/agentscope tot en met de laatste beschikbare versie. Een fix is beschikbaar en wordt aangeraden.
Een succesvolle exploitatie van deze Directory Traversal kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op het systeem te lezen, zolang de aanvaller de juiste POST request naar de /read-examples endpoint kan sturen. Dit kan leiden tot blootstelling van gevoelige configuratiegegevens, API sleutels, of andere vertrouwelijke informatie die in de JSON bestanden zijn opgeslagen. De impact is aanzienlijk, omdat de aanvaller potentieel toegang kan krijgen tot kritieke systeembestanden en de integriteit van het systeem kan compromitteren. Het is vergelijkbaar met scenario's waarbij een aanvaller toegang krijgt tot configuratiebestanden via een vergelijkbare directory traversal techniek.
Deze kwetsbaarheid is openbaar bekend sinds 2025-03-20. Er is geen informatie beschikbaar over actieve exploits in de wildernis op dit moment. De EPSS score is nog niet bekend. Er zijn geen publieke proof-of-concept exploits bekend.
Organizations using modelscope/agentscope in their Python applications, particularly those deploying it in environments where sensitive data is stored as JSON files, are at risk. This includes developers integrating agentscope into their AI workflows and those using it in shared hosting environments where file system access might be less restricted.
• python / server:
import requests
url = 'http://your-target-server/read-examples'
payload = {'file': '..//../../../../etc/passwd'}
response = requests.post(url, data=payload)
if 'root:' in response.text:
print('Potential vulnerability detected!')
else:
print('No vulnerability detected.')• generic web:
curl -X POST http://your-target-server/read-examples -d 'file=../../../../etc/passwd' | grep 'root:'disclosure
Exploit Status
EPSS
0.67% (71% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van modelscope/agentscope naar een versie met de beveiligingspatch. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) om de /read-examples endpoint te blokkeren of te filteren op verdachte verzoeken. Controleer ook de toegangsrechten van de JSON bestanden om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben. Het is belangrijk om de configuratie van de agentscope te beoordelen en te zorgen voor een minimale privilege setup.
Actualice la biblioteca modelscope/agentscope a una versión posterior a 0.0.4 que corrija la vulnerabilidad de path traversal. Esto evitará que atacantes lean archivos JSON locales arbitrarios. Consulte las notas de la versión o el registro de cambios para obtener detalles sobre la corrección.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-8524 is a directory traversal vulnerability in modelscope/agentscope allowing attackers to read local JSON files via the /read-examples endpoint.
You are affected if you are using modelscope/agentscope version 0.0.4 or earlier.
Upgrade to a patched version of modelscope/agentscope as soon as it becomes available. Implement input validation on the /read-examples endpoint as a temporary workaround.
There is currently no indication of active exploitation, but the vulnerability's ease of exploitation warrants prompt mitigation.
Refer to the modelscope/agentscope project's repository or official communication channels for updates and advisories regarding CVE-2024-8524.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.