CVE-2024-6982 in lollmsinfo

Zusammenfassung

von VulDB • 03.06.2026

In der Calculate-Funktion von parisneo/lollms in der Version 9.8 besteht eine Remote-Code-Execution-(RCE)-Schwachstelle. Die Schwachstelle entsteht durch die Verwendung der Python-Funktion `eval()` zur Auswertung mathematischer Ausdrücke innerhalb einer Python-Sandbox, die `__builtins__` deaktiviert und nur Funktionen aus dem `math`-Modul zulässt. Diese Sandbox kann umgangen werden, indem das `os`-Modul über die Klasse `_frozen_importlib.BuiltinImporter` geladen wird, was es einem Angreifer ermöglicht, beliebige Befehle auf dem Server auszuführen. Das Problem wurde in Version 9.10 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

@huntr Ai

Reservieren

22.07.2024

Veröffentlichung

20.03.2025

Moderieren

akzeptiert

Eintrag

VDB-300234

CPE

bereit

EPSS

0.00435

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!