Plataforma
python
Componente
modelscope/agentscope
Uma vulnerabilidade de Directory Traversal foi identificada em modelscope/agentscope, afetando versões até a última disponível. Um atacante pode explorar essa falha para ler arquivos JSON locais no sistema, comprometendo a confidencialidade dos dados. A correção está disponível e a aplicação das medidas de mitigação é crucial para proteger o ambiente.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante acesse arquivos JSON arbitrários no servidor. Isso pode levar à exposição de informações sensíveis, como chaves de API, configurações de banco de dados ou dados de usuários. O impacto potencial é alto, pois a leitura de arquivos confidenciais pode comprometer a integridade e a disponibilidade do sistema. A ausência de controles de acesso adequados no endpoint /read-examples facilita a exploração, tornando o ataque relativamente simples de executar.
A vulnerabilidade foi divulgada em 2025-03-20. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV. A existência de um endpoint vulnerável e a facilidade de exploração sugerem um risco potencial, especialmente em ambientes com configurações inseguras. A ausência de um Proof of Concept (PoC) público não diminui a necessidade de mitigação imediata.
Organizations using modelscope/agentscope in their Python applications, particularly those deploying it in environments where sensitive data is stored as JSON files, are at risk. This includes developers integrating agentscope into their AI workflows and those using it in shared hosting environments where file system access might be less restricted.
• python / server:
import requests
url = 'http://your-target-server/read-examples'
payload = {'file': '..//../../../../etc/passwd'}
response = requests.post(url, data=payload)
if 'root:' in response.text:
print('Potential vulnerability detected!')
else:
print('No vulnerability detected.')• generic web:
curl -X POST http://your-target-server/read-examples -d 'file=../../../../etc/passwd' | grep 'root:'disclosure
Status do Exploit
EPSS
0.67% (percentil 71%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar para a versão corrigida de modelscope/agentscope assim que estiver disponível. Enquanto isso, implemente controles de acesso rigorosos no endpoint /read-examples, restringindo o acesso apenas a usuários autorizados. Considere a utilização de um Web Application Firewall (WAF) para filtrar requisições maliciosas e bloquear tentativas de Directory Traversal. Monitore os logs do servidor em busca de padrões suspeitos, como requisições com caminhos de arquivo incomuns.
Actualice la biblioteca modelscope/agentscope a una versión posterior a 0.0.4 que corrija la vulnerabilidad de path traversal. Esto evitará que atacantes lean archivos JSON locales arbitrarios. Consulte las notas de la versión o el registro de cambios para obtener detalles sobre la corrección.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-8524 is a directory traversal vulnerability in modelscope/agentscope allowing attackers to read local JSON files via the /read-examples endpoint.
You are affected if you are using modelscope/agentscope version 0.0.4 or earlier.
Upgrade to a patched version of modelscope/agentscope as soon as it becomes available. Implement input validation on the /read-examples endpoint as a temporary workaround.
There is currently no indication of active exploitation, but the vulnerability's ease of exploitation warrants prompt mitigation.
Refer to the modelscope/agentscope project's repository or official communication channels for updates and advisories regarding CVE-2024-8524.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.