Plataforma
python
Componente
agentscope
Corrigido em
0.0.5
Uma vulnerabilidade de Path Traversal foi descoberta em Agentscope, versões até 0.0.4. Essa falha permite que um atacante acesse arquivos sensíveis no servidor, comprometendo a confidencialidade dos dados. A vulnerabilidade reside na API /api/file, onde o parâmetro path não é devidamente validado. A correção envolve a atualização para uma versão mais recente do Agentscope.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante leia qualquer arquivo acessível ao processo do servidor web. Isso pode incluir arquivos de configuração, chaves de API, dados de usuários e outros dados confidenciais. O impacto potencial é alto, pois a divulgação de informações pode levar a comprometimento de sistemas, roubo de dados e escalada de privilégios. Um atacante poderia, por exemplo, ler o arquivo /etc/passwd em um sistema Linux, obtendo informações sobre os usuários do sistema. A falta de sanitização do parâmetro path torna a exploração relativamente simples, exigindo apenas o envio de uma requisição HTTP maliciosa.
A vulnerabilidade foi publicada em 2025-03-20. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV. A ausência de um Proof of Concept (PoC) público não diminui o risco, pois a exploração é conceitualmente simples. A severidade é classificada como ALTA devido ao potencial de acesso não autorizado a dados sensíveis.
Organizations deploying Agentscope in production environments, particularly those with sensitive data stored on the same server, are at risk. Environments with weak access controls or inadequate input validation practices are especially vulnerable. Shared hosting environments where Agentscope is installed alongside other applications could also be affected if the vulnerability is exploited to gain access to other tenants' data.
• python / agentscope:
import requests
import os
url = 'http://your-agentscope-server/api/file' # Replace with your server
try:
# Attempt to read a sensitive file
response = requests.get(url + '?path=/etc/passwd')
if response.status_code == 200:
print('Potential Path Traversal Detected!')
print(response.text)
else:
print('No Path Traversal Detected.')
except requests.exceptions.RequestException as e:
print(f'Error: {e}')• generic web:
curl 'http://your-agentscope-server/api/file?path=../../../../etc/passwd' -s | grep 'root:'disclosure
Status do Exploit
EPSS
0.19% (percentil 41%)
CISA SSVC
Vetor CVSS
A mitigação primária é a atualização para uma versão corrigida do Agentscope. Enquanto a versão corrigida não estiver disponível, uma medida temporária pode ser a implementação de um Web Application Firewall (WAF) para bloquear requisições que contenham caracteres especiais ou sequências de caminho suspeitas no parâmetro path. Além disso, restringir o acesso à API /api/file apenas a usuários autenticados e com permissões apropriadas pode reduzir o risco. Monitore os logs do servidor web em busca de tentativas de acesso a arquivos inesperados.
Actualice la biblioteca modelscope/agentscope a una versión posterior a la 0.0.4 que corrija la vulnerabilidad de path traversal. Consulte las notas de la versión o el registro de cambios para obtener más detalles sobre la corrección. Si no hay una versión corregida disponible, considere aplicar un parche temporal para validar y limpiar el parámetro 'path' antes de usarlo para acceder a archivos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-8438 is a Path Traversal vulnerability in Agentscope versions up to 0.0.4, allowing attackers to read arbitrary files on the server via the /api/file endpoint.
You are affected if you are using Agentscope version 0.0.4 or earlier. Upgrade to a patched version as soon as possible.
The primary fix is to upgrade to a patched version of Agentscope. Until then, implement WAF rules and strict input validation on the /api/file endpoint.
There is currently no evidence of CVE-2024-8438 being actively exploited, but the vulnerability poses a significant risk.
Refer to the Agentscope project's official repository or website for updates and advisories related to CVE-2024-8438.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.