从这个网页截图中,可以获取到关于漏洞的以下关键信息: 漏洞标题:Arbitrary File Write via AI Agent Function Calling in .NET SDK 漏洞严重性:Critical(CVSS v3 base metric的严重性评分为10.0/10) 受影响的包和版本: - Microsoft.SemanticKernel.Core (NuGet):受漏洞影响的版本为 < 1.70.0,已修复的版本为 1.70.0。 - semantic-kernel (pip):受漏洞影响的版本为 < 1.39.3,已修复的版本为 1.39.3。 漏洞描述和影响:Microsoft Semantic Kernel .NET SDK中的SessionsPythonPlugin存在问题,允许任意文件写入。 漏洞危害:如果开发者的应用程序包含了Microsoft Semantic Kernel .NET SDK,并且使用了SessionsPythonPlugin,那么就可能受到该漏洞的影响。 补丁信息:该问题已在版本Microsoft.SemanticKernel.Core version 1.70.0中得到修复,建议用户升级到此版本或更高版本。 漏洞规避策略:用户可以创建一个Function Invocation Filter,用于检查传递给DownloadFileAsync或UploadFileAsync的参数,并确保提供的localFilePath处于允许的列表中。 漏洞相关信息: - CVE ID为CVE-2026-25592。 - 弱点类型为CWE-22。 发现者:doredry、amiteliah和urioren都发现了该漏洞。