CVE-2024-8238 in aiminformación

Resumen

por MITRE • 2025-03-20

En la versión 3.22.0 de aimhubio/aim, el lenguaje de consulta AimQL utiliza una versión obsoleta de la función safer_getattr() de RestrictedPython. Esta versión no protege contra el método str.format_map(), lo que permite a un atacante filtrar información confidencial del servidor o potencialmente obtener ejecución de código sin restricciones. La vulnerabilidad surge porque str.format_map() puede leer atributos arbitrarios de objetos Python, lo que permite a los atacantes acceder a variables sensibles como os.environ. Si un atacante puede escribir archivos en una ubicación conocida del servidor Aim, puede usar str.format_map() para cargar un archivo .dll/.so malicioso en el intérprete de Python, lo que provoca la ejecución de código sin restricciones.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

@huntr Ai

Reservar

2024-08-27

Divulgación

2025-03-20

Moderación

aceptado

Artículo

VDB-300236

CPE

listo

EPSS

0.00702

KEV

no

Actividades

muy bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!