Katalog CVE

CVE-2024-8502

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność w klasie RpcAgentServerLauncher w modelscope/agentscope v0.0.6a3 umożliwia zdalne wykonanie kodu (RCE) poprzez deserializację nieufnych danych przy użyciu biblioteki dill. Problem występuje w metodzie AgentServerServicer.create_agent, gdzie zserializowane dane są deserializowane za pomocą dill.loads, co pozwala atakującemu na wykonanie dowolnych poleceń na serwerze.

Ocena ryzyka

Zdalne wykonanie kodu może prowadzić do pełnej kompromitacji serwera, co stwarza poważne zagrożenie dla bezpieczeństwa danych i systemów organizacji. Atakujący może uzyskać dostęp do wrażliwych informacji oraz przejąć kontrolę nad infrastrukturą IT.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji modelscope/agentscope, która eliminuje tę podatność. Dodatkowo, należy ograniczyć dostęp do serwera oraz monitorować logi w celu wykrycia potencjalnych prób ataków.

Oryginalny opis (angielski, źródło NVD)

A vulnerability in the RpcAgentServerLauncher class of modelscope/agentscope v0.0.6a3 allows for remote code execution (RCE) via deserialization of untrusted data using the dill library. The issue occurs in the AgentServerServicer.create_agent method, where serialized input is deserialized using dill.loads, enabling an attacker to execute arbitrary commands on the server.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS