CVE-2026-6604

Name of the Vulnerable Software and Affected Versions modelscope agentscope versões anteriores a 1.0.19

Description Um problema existe no componente Cloud Metadata Endpoint dentro do arquivo src/agentscope/tool/ multi modality/ openai tools.py. Especificamente, as funções parse url(), prepare image() e openai audio to text() não manipulam adequadamente os argumentos image url e audio file url. Isso permite que um invasor remoto realize server-side request forgery, que é uma técnica onde um invasor induz uma aplicação no servidor a fazer requisições para um local não pretendido.

Recommendations Atualize para uma versão posterior a 1.0.18. Como medida paliativa temporária, restrinja o acesso às funções parse url(), prepare image() e openai audio to text() ou evite usar os argumentos image url e audio file url até que uma correção seja aplicada.