Eine Sicherheitslücke (CVE-2026-2256) im ModelScope MS-Agent-Framework ermöglicht Angreifern durch mangelhafte Eingabevalidierung die Ausführung beliebiger Befehle und damit eine vollständige Kompromittierung des Systems.
Sicherheitsforscher haben eine kritische Schwachstelle im Open-Source-Framework MS-Agent entdeckt, die es Angreifern ermöglicht, beliebige Betriebssystembefehle auszuführen. MS-Agent ist ein Framework zur Entwicklung von KI-Agenten, die Code generieren, Daten analysieren und über das Model Calling Protocol (MCP) mit anderen Tools interagieren können.
Die unter CVE-2026-2256 katalogisierte Lücke betrifft das Shell-Tool des Frameworks, das KI-Agenten die Ausführung von Systembefehlen ermöglicht. Das Problem: Das Tool nutzt eine auf regulären Ausdrücken basierende Blacklist zur Filterung gefährlicher Befehle — ein bekanntermaßen unsicheres Muster. Der Sicherheitsforscher Itamar Yochpaz weist darauf hin, dass trotz sechs Validierungsebenen vor der Befehlsausführung Angreifer beliebigen Code über vertrauenswürdige Interpreter ausführen und Daten über erlaubte Netzwerk-Tools exfiltrieren können.
Angreifer könnten die Lücke ausnutzen, indem sie manipulierte Inhalte in Datenquellen einschleusen, die der Agent verarbeitet — etwa Prompts, Dokumente oder Protokolle. Der Agent wählt dann das Shell-Tool aus und formuliert einen Befehl mit den vom Angreifer beeinflussten Daten. Durch die Art, wie die Shell den Befehl interpretiert, werden die Sicherheitsprüfungen umgangen und der schadhafte Code mit den Privilegien des MS-Agent-Prozesses ausgeführt.
Successful exploitation ermöglicht es Angreifern, API-Schlüssel und Tokens zu stehlen, Malware auf dem System zu platzieren, den Workspace zu modifizieren, Persistenz zu etablieren und auf interne Systeme überzugreifen. Die Schwachstelle wurde in MS-Agent Version 1.5.2 gefunden. Der Hersteller hat laut CERT/CC-Mitteilung bislang nicht auf Koordinierungsversuche reagiert.
Die CERT/CC empfiehlt, MS-Agent nur in Umgebungen mit vertrauenswürdigen Eingaben einzusetzen, Shell-basierte Agenten zu isolieren oder mit minimalen Rechten auszuführen sowie Blacklist-Filter durch strikte Whitelists zu ersetzen.
Quelle: SecurityWeek