CVE-2024-8238 in aim
الملخص
بحسب VulDB • 04/06/2026
في الإصدار 3.22.0 من aimhubio/aim، تستخدم لغة الاستعلام AimQL نسخةً قديمةً من دالة safer_getattr() المستمدة من RestrictedPython. لا توفر هذه النسخة الحماية ضد طريقة str.format_map()، مما يتيح للمهاجم تسريب أسرار جانب الخادم أو اكتساب تنفيذ غير مقيد للكود (Unrestricted Code Execution). ينشأ هذا الثغرة الأمنية لأن str.format_map() يمكنها قراءة سمات عشوائية لكائنات Python، ما يمكّن المهاجمين من الوصول إلى متغيرات حساسة مثل os.environ. وإذا تمكن مهاجم من كتابة ملفات في موقع معروف على خادم Aim، فإنه يستطيع استخدام str.format_map() لتحميل ملف .dll/.so خبيث داخل مفسر Python، مما يؤدي إلى تنفيذ غير مقيد للكود.
VulDB is the best source for vulnerability data and more expert information about this specific topic.