CVE-2024-8502

Nome do Software Vulnerável e Versões Afetadas modelscope/agentscope versão 0.0.6a3

Descrição Uma vulnerabilidade na classe RpcAgentServerLauncher permite a execução remota de código (RCE) através da desserialização de dados não confiáveis utilizando a biblioteca dill. O problema ocorre no método AgentServerServicer.create agent, onde a entrada serializada é desserializada usando dill.loads, permitindo que um atacante execute comandos arbitrários no servidor.

Recomendações Para o modelscope/agentscope versão 0.0.6a3, considere desativar o método AgentServerServicer.create agent até que uma correção esteja disponível para prevenir a execução remota de código. Restrinja o acesso à classe RpcAgentServerLauncher para minimizar o risco de exploração. Evite utilizar a função dill.loads para desserializar entrada não confiável no endpoint da API afetado até que o problema seja resolvido.