الثغرات ›

CVE-2026-6604

مرتفع

CWE-918 — نوع الضعف

                    نُشر: Apr 20, 2026                      ·  آخر تحديث: Apr 27, 2026                      ·  المصدر: NVD                

CVSS v3

7.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A vulnerability was identified in modelscope agentscope up to 1.0.18. Affected by this issue is the function _parse_url/prepare_image/openai_audio_to_text of the file src/agentscope/tool/_multi_modality/_openai_tools.py of the component Cloud Metadata Endpoint. Such manipulation of the argument image_url/audio_file_url leads to server-side request forgery. The attack may be performed from remote. The exploit is publicly available and might be used. The vendor was contacted early about this disclosure but did not respond in any way.

🤖 ملخص AI

A server-side request forgery (SSRF) vulnerability exists in ModelScope AgentScope up to version 1.0.18 affecting image and audio URL processing functions. Remote attackers can exploit this vulnerability without authentication to access internal resources or perform unauthorized requests.

📄 الوصف (العربية)

ثغرة SSRF في وحدة معالجة الوسائط المتعددة بـ ModelScope AgentScope تؤثر على الدوال _parse_url و prepare_image و openai_audio_to_text. يمكن للمهاجمين التلاعب بمعاملات image_url و audio_file_url لإجبار الخادم على إرسال طلبات إلى موارد داخلية أو خارجية غير مصرح بها.

🤖 ملخص تنفيذي (AI)

ثغرة في معالجة عناوين URL للصور والملفات الصوتية في ModelScope AgentScope تسمح بهجمات SSRF من قبل المهاجمين البعيدين. يمكن استغلال هذه الثغرة للوصول إلى الموارد الداخلية أو تنفيذ طلبات غير مصرح بها.

🤖 التحليل الذكي آخر تحليل: May 6, 2026 08:54

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

telecom government healthcare banking

🎯 تقنيات MITRE ATT&CK

T1190 T1498 T1570

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade ModelScope AgentScope to version 1.0.19 or later immediately. Implement input validation and URL sanitization for image_url and audio_file_url parameters. Deploy network segmentation to restrict outbound connections from affected systems. Monitor for suspicious URL patterns in logs and implement WAF rules to block SSRF attempts.

🔧 خطوات المعالجة (العربية)

قم بترقية ModelScope AgentScope إلى الإصدار 1.0.19 أو أحدث فوراً. طبق التحقق من صحة المدخلات وتنظيف عناوين URL لمعاملات image_url و audio_file_url. نفذ تقسيم الشبكة لتقييد الاتصالات الصادرة من الأنظمة المتأثرة. راقب أنماط عناوين URL المريبة في السجلات وطبق قواعد WAF لحظر محاولات SSRF.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.13.1.1 A.14.2.1 A.14.2.5

🔵 SAMA CSF

ID.RA-2 PR.DS-1 PR.IP-1

🟡 ISO 27001:2022

A.12.6.1 A.13.1.1 A.14.2.1

🔗 المراجع والمصادر 4

🔗

https://gist.github.com/YLChen-007/e3e0741b297d8c2ffca59b6350d4c657

cna@vuldb.com

🔗

https://vuldb.com/submit/792224

cna@vuldb.com

🔗

https://vuldb.com/vuln/358239

cna@vuldb.com

🔗

https://vuldb.com/vuln/358239/cti

cna@vuldb.com

📊 CVSS Score

7.3

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.3

CWECWE-918

EPSS0.04%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-20

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-918

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-6604

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب