PT-2024-32970 · Unknown · Agentscope
Aftersnows
·
Publicado
2024-11-04
·
Atualizado
2024-11-06
·
CVE-2024-48050
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do agentscope de 0.0.0 a 0.0.4
Descrição
O problema está relacionado à função
is callable expression no arquivo agentscopewebworkstationworkflow utils.py. Essa função contém a linha result = eval(s), o que representa um risco à segurança, pois pode executar diretamente comandos fornecidos pelo usuário, levando à execução de código arbitrário.Recomendações
Para as versões 0.0.0 a 0.0.4 do agentscope, considere desativar a função
is callable expression até que uma correção esteja disponível para impedir a execução de comandos fornecidos pelo usuário. Restrinja o acesso ao módulo workflow utils.py para minimizar o risco de exploração. Evite usar a função eval com entradas não confiáveis no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Code Injection
Eval Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Agentscope