Itamar Yochpaz

**Nome do Software Vulnerável e Versões Afetadas** ModelScope ms-agent versões anteriores a v1.6.0rc1 **Descrição** Um problema de injeção de comando existe no framework ModelScope ms-agent, especificamente na ferramenta Shell, devido à sanitização inadequada de entradas. A lista negra baseada em expressões regulares usada para filtrar comandos prejudiciais é ineficaz contra ataques elaborados. Isso permite que um invasor execute comandos arbitrários do sistema operacional por meio de entradas derivadas de prompts manipulados ou injetando conteúdo malicioso em fontes de dados usadas pelo agente, sem a necessidade de acesso direto ao shell. A exploração bem-sucedida pode levar ao comprometimento total do sistema, incluindo a exfiltração de dados sensíveis, como chaves de API e arquivos de configuração, e a modificação de configurações do sistema. **Recomendações** Para versões anteriores a v1.6.0rc1, substitua a filtragem de lista negra implementada por protocolos de lista de permissões (allowlist) mais robustos. Limite a implantação do ms-agent a ambientes confiáveis onde todas as entradas sejam consideradas seguras e validadas. Implemente sandboxes e permissões de privilégio mínimo para agentes com capacidades de execução de shell.

**Nome do software vulnerável e versões afetadas** Commugen SOX 365 (versões afetadas não especificadas) **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da web, o que pode levar a um ataque de cross-site scripting. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.