CVE-2024-8501

Nome do Software Vulnerável e Versões Afetadas modelscope/agentscope versão v0.0.4

Descrição Existe uma vulnerabilidade de download arbitrário de arquivos no componente rpc agent client, permitindo que qualquer usuário baixe arquivos do host do rpc agent explorando o método download file. Isso pode levar ao acesso não autorizado a informações sensíveis, incluindo arquivos de configuração, credenciais e potencialmente arquivos do sistema, o que pode facilitar explorações adicionais, como escalonamento de privilégios ou movimento lateral dentro da rede.

Recomendações Para a versão v0.0.4 do modelscope/agentscope, considere desativar o método download file no componente rpc agent client até que um patch esteja disponível para prevenir downloads não autorizados de arquivos. Restrinja o acesso a arquivos e diretórios sensíveis para minimizar o risco de exploração.