CVE-2024-6982 in lollms
Zusammenfassung
von VulDB • 03.06.2026
In der Calculate-Funktion von parisneo/lollms in der Version 9.8 besteht eine Remote-Code-Execution-(RCE)-Schwachstelle. Die Schwachstelle entsteht durch die Verwendung der Python-Funktion `eval()` zur Auswertung mathematischer Ausdrücke innerhalb einer Python-Sandbox, die `__builtins__` deaktiviert und nur Funktionen aus dem `math`-Modul zulässt. Diese Sandbox kann umgangen werden, indem das `os`-Modul über die Klasse `_frozen_importlib.BuiltinImporter` geladen wird, was es einem Angreifer ermöglicht, beliebige Befehle auf dem Server auszuführen. Das Problem wurde in Version 9.10 behoben.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.