CVE-2024-3121 in lollms
Résumé
par VulDB • 23/06/2026
Une vulnérabilité d'exécution de code à distance (RCE) existe dans la fonction create_conda_env du dépôt parisneo/lollms, version 5.9.0. La vulnérabilité provient de l'utilisation de shell=True dans la fonction subprocess.Popen, ce qui permet à un attaquant d'injecter des commandes arbitraires en manipulant les paramètres env_name et python_version. Ce problème pourrait entraîner une violation de sécurité grave, comme le démontre la capacité d'exécuter la commande 'whoami', parmi potentiellement d'autres commandes nuisibles.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.