PT-2026-6792 · Semantic Kernel+1 · Sessionspythonplugin+1
Amiteliahu
+2
·
Publicado
2026-02-06
·
Atualizado
2026-06-29
·
CVE-2026-25592
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Semantic Kernel .NET SDK versões anteriores a 1.71.0
Agent Framework versão 1.0
Descrição
Um problema de escrita arbitrária de arquivos existe no SDK .NET, especificamente dentro do
SessionsPythonPlugin. Esta falha permite a travessia de diretório (path traversal), que pode ser combinada com uma lacuna de confiança arquitetural na forma como os agentes de IA lidam com chamadas de ferramentas autônomas para alcançar a execução remota de código. Quando o AutoInvokeKernelFunctions está habilitado, a estrutura pode tratar a saída estocástica do LLM como comandos de sistema de alto privilégio sem validação eficaz. Atacantes podem burlar filtros de segurança usando confusão de tipo JSON, codificação Base64/URL ou homógrafos Unicode para sobrescrever o código-fonte da aplicação, como o Program.cs, levando ao controle total do host. O problema envolve as funções DownloadFileAsync() e UploadFileAsync() e a variável localFilePath.Recomendações
Para as versões do Semantic Kernel .NET SDK anteriores a 1.71.0, atualize para a versão 1.71.0 ou superior.
Para o Agent Framework versão 1.0, desabilite o
ToolCallBehavior.AutoInvokeKernelFunctions e mude para a invocação manual de funções.
Como mitigação temporária, crie um Filtro de Invocação de Função para verificar se a variável localFilePath passada para DownloadFileAsync() ou UploadFileAsync() está em uma lista de permitidos.
Implemente um IFunctionInvocationFilter manual para impor a ancoragem de caminho a uma raiz segura designada.Exploit
Correção
RCE
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Semantic-Kernel
Sessionspythonplugin