A vulnerability was identified in modelscope agentscope up to 1.0.18. Affected by this issue is the function _parse_url/prepare_image/openai_audio_to_text of the file src/agentscope/tool/_multi_modality/_openai_tools.py of the component Cloud Metadata Endpoint. Such manipulation of the argument image_url/audio_file_url leads to server-side request forgery. The attack may be performed from remote. The exploit is publicly available and might be used. The vendor was contacted early about this disclosure but did not respond in any way.
A server-side request forgery (SSRF) vulnerability exists in ModelScope AgentScope up to version 1.0.18 affecting image and audio URL processing functions. Remote attackers can exploit this vulnerability without authentication to access internal resources or perform unauthorized requests.
ثغرة SSRF في وحدة معالجة الوسائط المتعددة بـ ModelScope AgentScope تؤثر على الدوال _parse_url و prepare_image و openai_audio_to_text. يمكن للمهاجمين التلاعب بمعاملات image_url و audio_file_url لإجبار الخادم على إرسال طلبات إلى موارد داخلية أو خارجية غير مصرح بها.
ثغرة في معالجة عناوين URL للصور والملفات الصوتية في ModelScope AgentScope تسمح بهجمات SSRF من قبل المهاجمين البعيدين. يمكن استغلال هذه الثغرة للوصول إلى الموارد الداخلية أو تنفيذ طلبات غير مصرح بها.
Upgrade ModelScope AgentScope to version 1.0.19 or later immediately. Implement input validation and URL sanitization for image_url and audio_file_url parameters. Deploy network segmentation to restrict outbound connections from affected systems. Monitor for suspicious URL patterns in logs and implement WAF rules to block SSRF attempts.
قم بترقية ModelScope AgentScope إلى الإصدار 1.0.19 أو أحدث فوراً. طبق التحقق من صحة المدخلات وتنظيف عناوين URL لمعاملات image_url و audio_file_url. نفذ تقسيم الشبكة لتقييد الاتصالات الصادرة من الأنظمة المتأثرة. راقب أنماط عناوين URL المريبة في السجلات وطبق قواعد WAF لحظر محاولات SSRF.