A security flaw has been discovered in modelscope agentscope up to 1.0.18. This affects the function _get_bytes_from_web_url of the file src/agentscope/_utils/_common.py of the component Internal Service. Performing a manipulation results in server-side request forgery. It is possible to initiate the attack remotely. The exploit has been released to the public and may be used for attacks. The vendor was contacted early about this disclosure but did not respond in any way.
A server-side request forgery (SSRF) vulnerability exists in ModelScope AgentScope versions up to 1.0.18 in the _get_bytes_from_web_url function, allowing remote attackers to manipulate internal service requests. The vulnerability has public exploits available and poses significant risk to organizations using affected versions.
ثغرة تزييف طلب من جانب الخادم (SSRF) في دالة _get_bytes_from_web_url بملف src/agentscope/_utils/_common.py تسمح للمهاجمين بمعالجة الطلبات المرسلة من الخادم للوصول إلى الموارد الداخلية. الثغرة قابلة للاستغلال عن بعد وتم نشر استغلالات عامة لها، مما يزيد من خطر الهجمات.
ثغرة تزييف طلب من جانب الخادم (SSRF) موجودة في إصدارات ModelScope AgentScope حتى 1.0.18 في دالة _get_bytes_from_web_url، مما يسمح للمهاجمين البعيدين بمعالجة طلبات الخدمة الداخلية. الثغرة لها استغلالات عامة متاحة وتشكل خطراً كبيراً على المنظمات التي تستخدم الإصدارات المتأثرة.
Immediately upgrade ModelScope AgentScope to version 1.0.19 or later. If immediate patching is not possible, implement network segmentation to restrict internal service access, disable the affected functionality, and monitor for suspicious outbound requests from affected systems.
قم بترقية ModelScope AgentScope فوراً إلى الإصدار 1.0.19 أو أحدث. إذا لم يكن الترقيع الفوري ممكناً، قم بتطبيق تقسيم الشبكة لتقييد الوصول إلى الخدمات الداخلية، وتعطيل الوظيفة المتأثرة، ومراقبة الطلبات الصادرة المريبة من الأنظمة المتأثرة.