漏洞总结:AgentScope SSRF 漏洞 漏洞概述 标题:通过多模态内容块格式化器实现完全(非盲)SSRF,可直接数据外泄 描述:AgentScope 的多模态内容处理管道使用 获取用户提供的 URL,且没有任何 URL 验证。获取的响应被 base64 编码并返回给格式化器输出,导致内部服务数据和云凭据的直接数据外泄。 核心问题:这是一个完全(非盲)SSRF,攻击者可以从内部/云请求中接收完整的响应体(base64 编码)。 影响范围 受影响产品:Ecosystem: pip, Package name: agentscope 受影响版本:<= 1.0.14(所有支持多模态内容块的版本) 严重程度:Critical (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N) 具体影响: 1. 云凭据窃取:获取 AWS/GCP/Azure IAM 凭据。 2. 内部服务数据外泄:获取内部 API、数据库和管理面板。 3. 内部网络侦察:探测内部主机和端口。 4. 攻击面广泛:漏洞存在于 OpenAI, Ollama, Gemini 等格式化器及实时模型中。 修复方案 修复版本:已修复(Patched versions)。 修复方向:在 函数及所有调用 的地方增加 URL 验证(如私有 IP 阻止、协议限制、主机名白名单)。 POC 代码提取 1. 核心漏洞代码 ( ) 2. 攻击场景 Payload (JSON) 3. 攻击者解码代码