CVE-2024-8238 in aimالمعلومات

الملخص

بحسب VulDB • 04/06/2026

في الإصدار 3.22.0 من aimhubio/aim، تستخدم لغة الاستعلام AimQL نسخةً قديمةً من دالة safer_getattr() المستمدة من RestrictedPython. لا توفر هذه النسخة الحماية ضد طريقة str.format_map()، مما يتيح للمهاجم تسريب أسرار جانب الخادم أو اكتساب تنفيذ غير مقيد للكود (Unrestricted Code Execution). ينشأ هذا الثغرة الأمنية لأن str.format_map() يمكنها قراءة سمات عشوائية لكائنات Python، ما يمكّن المهاجمين من الوصول إلى متغيرات حساسة مثل os.environ. وإذا تمكن مهاجم من كتابة ملفات في موقع معروف على خادم Aim، فإنه يستطيع استخدام str.format_map() لتحميل ملف .dll/.so خبيث داخل مفسر Python، مما يؤدي إلى تنفيذ غير مقيد للكود.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

@huntr Ai

حجز

27/08/2024

إفشاء

20/03/2025

الاعتدال

تمت الموافقة

إدخال

VDB-300236

EPSS

0.00702

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!