HIGHCVE-2024-8524CVSS 7.5

modelscope/agentscope 中的目录遍历漏洞

平台

python

组件

modelscope/agentscope

AI Confidence: highNVDEPSS 0.7%已审阅: 2026年5月

CVE-2024-8524 描述了 modelscope/agentscope 中存在的目录遍历漏洞。该漏洞允许攻击者通过发送恶意构造的 POST 请求，读取服务器上的任意本地 JSON 文件，从而可能泄露敏感信息。该漏洞影响 modelscope/agentscope 的所有版本，包括 0.0.4 及更早版本。建议用户尽快采取措施修复此漏洞。

影响与攻击场景

攻击者利用此目录遍历漏洞，可以读取服务器上的任意 JSON 文件。这些文件可能包含配置信息、API 密钥、数据库连接字符串或其他敏感数据。成功利用此漏洞可能导致信息泄露、权限提升，甚至可能导致对服务器的进一步控制。由于该漏洞允许读取任意文件，因此其影响范围可能相当广泛，取决于服务器上存储的 JSON 文件的内容。该漏洞的利用方式类似于其他目录遍历漏洞，攻击者通过在文件路径中插入诸如 '../' 之类的特殊字符来绕过访问控制。

利用背景

目前尚无公开的利用代码，但该漏洞的严重性较高，可能成为攻击者的目标。该漏洞已于 2025 年 3 月 20 日公开披露。由于该漏洞的利用相对简单，且影响范围较大，因此建议用户尽快采取措施修复此漏洞。目前尚未将其添加到 CISA KEV 目录。

哪些人处于风险中翻译中…

Organizations using modelscope/agentscope in their Python applications, particularly those deploying it in environments where sensitive data is stored as JSON files, are at risk. This includes developers integrating agentscope into their AI workflows and those using it in shared hosting environments where file system access might be less restricted.

检测步骤翻译中…

• python / server:

import requests

url = 'http://your-target-server/read-examples'
payload = {'file': '..//../../../../etc/passwd'}

response = requests.post(url, data=payload)

if 'root:' in response.text:
    print('Potential vulnerability detected!')
else:
    print('No vulnerability detected.')

• generic web:

curl -X POST http://your-target-server/read-examples -d 'file=../../../../etc/passwd' | grep 'root:'

攻击时间线

2025-03-20Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.67% (71% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件modelscope/agentscope

供应商modelscope

影响范围修复版本

unspecified – latest—

0.0.4—

弱点分类 (CWE)

CWE-22

时间线

已保留2024-09-06
发布日期2025-03-20
修改日期2025-10-15
EPSS 更新日期2026-04-02

未修复 — 披露已430天

缓解措施和替代方案

由于该漏洞影响的是 modelscope/agentscope 的所有版本，建议用户尽快升级到最新版本以修复此漏洞。如果无法立即升级，可以考虑采取以下缓解措施：首先，限制对 /read-examples 端点的访问，只允许授权用户访问。其次，实施严格的文件访问控制，确保应用程序只能访问其需要的文件。第三，使用 Web 应用程序防火墙 (WAF) 或代理服务器来过滤恶意请求，阻止包含目录遍历字符的请求。最后，定期审查服务器上的 JSON 文件，确保它们不包含敏感信息。

修复方法翻译中…

Actualice la biblioteca modelscope/agentscope a una versión posterior a 0.0.4 que corrija la vulnerabilidad de path traversal. Esto evitará que atacantes lean archivos JSON locales arbitrarios. Consulte las notas de la versión o el registro de cambios para obtener detalles sobre la corrección.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2024-8524 — 目录遍历漏洞在 modelscope/agentscope 中？

CVE-2024-8524 是 modelscope/agentscope 0.0.4 及更早版本中发现的一个目录遍历漏洞，攻击者可以通过精心构造的 POST 请求读取服务器上的任意本地 JSON 文件。

我是否受到 CVE-2024-8524 在 modelscope/agentscope 中影响？

如果您正在使用 modelscope/agentscope 0.0.4 或更早版本，则您可能受到此漏洞的影响。请立即检查您的版本并采取必要的措施。

我如何修复 CVE-2024-8524 在 modelscope/agentscope 中？

建议升级到最新版本以修复此漏洞。如果无法升级，请限制对 /read-examples 端点的访问并实施严格的文件访问控制。

CVE-2024-8524 是否正在被积极利用？

目前尚未确认 CVE-2024-8524 正在被积极利用，但由于其严重性，建议用户尽快采取措施修复此漏洞。

在哪里可以找到 modelscope/agentscope 官方关于 CVE-2024-8524 的公告？

请访问 modelscope/agentscope 的官方 GitHub 仓库或相关文档，查找有关 CVE-2024-8524 的公告。