HIGHCVE-2024-8438CVSS 7.5

AgentScope 路径遍历漏洞位于 /api/file

平台

python

组件

agentscope

修复版本

0.0.5

AI Confidence: highNVDEPSS 0.2%已审阅: 2026年5月

在NVD查看

保存

CVE-2024-8438 是 Agentscope 中发现的路径遍历漏洞。该漏洞允许未经授权的用户通过 /api/file API 端点读取服务器上的任意文件，可能导致敏感信息泄露。该漏洞影响 Agentscope 版本小于或等于 0.0.4 的用户。建议尽快升级到修复版本或采取缓解措施。

影响与攻击场景

攻击者可以利用此路径遍历漏洞访问服务器文件系统中的敏感数据，例如配置文件、源代码、数据库凭据等。成功利用该漏洞可能导致数据泄露、系统配置被篡改，甚至可能被用于进一步攻击。由于该漏洞允许读取任意文件，攻击者的潜在影响范围非常广泛，可能涉及整个服务器环境。虽然目前没有公开的利用代码，但路径遍历漏洞通常容易被利用，因此存在较高的安全风险。

利用背景

该漏洞已于 2025-03-20 公开。目前尚未将其添加到 CISA KEV 目录，但由于其易于利用的特性，存在被主动利用的风险。建议密切关注安全社区的动态，及时了解最新的威胁情报。

哪些人处于风险中翻译中…

Organizations deploying Agentscope in production environments, particularly those with sensitive data stored on the same server, are at risk. Environments with weak access controls or inadequate input validation practices are especially vulnerable. Shared hosting environments where Agentscope is installed alongside other applications could also be affected if the vulnerability is exploited to gain access to other tenants' data.

检测步骤翻译中…

• python / agentscope:

import requests
import os

url = 'http://your-agentscope-server/api/file' # Replace with your server

try:
    # Attempt to read a sensitive file
    response = requests.get(url + '?path=/etc/passwd')
    if response.status_code == 200:
        print('Potential Path Traversal Detected!')
        print(response.text)
    else:
        print('No Path Traversal Detected.')
except requests.exceptions.RequestException as e:
    print(f'Error: {e}')

• generic web:

curl 'http://your-agentscope-server/api/file?path=../../../../etc/passwd' -s | grep 'root:'

攻击时间线

2025-03-20Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.19% (41% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件agentscope

供应商osv

影响范围修复版本

unspecified – latest—

0.0.40.0.5

弱点分类 (CWE)

CWE-22

时间线

已保留2024-09-04
发布日期2025-03-20
EPSS 更新日期2026-04-02

未修复 — 披露已430天

缓解措施和替代方案

由于目前没有官方提供的修复版本，建议采取以下缓解措施：首先，限制对 /api/file 端点的访问，仅允许授权用户访问。其次，实施严格的文件访问控制，确保应用程序只能访问其所需的文件。第三，使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意请求，阻止包含恶意路径的请求。最后，定期审查服务器上的文件权限，确保没有不必要的权限被授予。

修复方法翻译中…

Actualice la biblioteca modelscope/agentscope a una versión posterior a la 0.0.4 que corrija la vulnerabilidad de path traversal. Consulte las notas de la versión o el registro de cambios para obtener más detalles sobre la corrección. Si no hay una versión corregida disponible, considere aplicar un parche temporal para validar y limpiar el parámetro 'path' antes de usarlo para acceder a archivos.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2024-8438 — 路径遍历漏洞在 Agentscope 中？

CVE-2024-8438 是 Agentscope 版本小于或等于 0.0.4 中的一个路径遍历漏洞，允许攻击者读取服务器上的任意文件。

我是否受到 CVE-2024-8438 在 Agentscope 中影响？

如果您正在使用 Agentscope 版本小于或等于 0.0.4，则可能受到此漏洞的影响。

我如何修复 CVE-2024-8438 在 Agentscope 中？

目前没有官方修复版本。建议采取缓解措施，例如限制访问、实施文件访问控制和使用 WAF。

CVE-2024-8438 是否正在被积极利用？

虽然目前没有公开的利用代码，但由于其易于利用的特性，存在被主动利用的风险。

在哪里可以找到官方 Agentscope 关于 CVE-2024-8438 的公告？

请关注 Agentscope 官方网站或 GitHub 仓库，以获取最新的安全公告。