CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-8502

Critical
Published: Translated: NVD NIST

Summary

Podatność w klasie RpcAgentServerLauncher w modelscope/agentscope v0.0.6a3 umożliwia zdalne wykonanie kodu (RCE) poprzez deserializację nieufnych danych przy użyciu biblioteki dill. Problem występuje w metodzie AgentServerServicer.create_agent, gdzie zserializowane dane są deserializowane za pomocą dill.loads, co pozwala atakującemu na wykonanie dowolnych poleceń na serwerze.

Risk Assessment

Zdalne wykonanie kodu może prowadzić do pełnej kompromitacji serwera, co stwarza poważne zagrożenie dla bezpieczeństwa danych i systemów organizacji. Atakujący może uzyskać dostęp do wrażliwych informacji oraz przejąć kontrolę nad infrastrukturą IT.

Recommendation

Zaleca się aktualizację do najnowszej wersji modelscope/agentscope, która eliminuje tę podatność. Dodatkowo, należy ograniczyć dostęp do serwera oraz monitorować logi w celu wykrycia potencjalnych prób ataków.

Original NVD description (English source)

A vulnerability in the RpcAgentServerLauncher class of modelscope/agentscope v0.0.6a3 allows for remote code execution (RCE) via deserialization of untrusted data using the dill library. The issue occurs in the AgentServerServicer.create_agent method, where serialized input is deserialized using dill.loads, enabling an attacker to execute arbitrary commands on the server.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS