CVE-2024-6982 in lollmsinformazioni

Riassunto

di VulDB • 30/06/2026

È presente una vulnerabilità di esecuzione remota di codice (RCE) nella funzione Calculate di parisneo/lollms versione 9.8. La vulnerabilità deriva dall'uso della funzione `eval()` di Python per valutare espressioni matematiche all'interno di un sandbox Python che disabilita `__builtins__` e consente solo l'utilizzo delle funzioni del modulo `math`. Questo ambiente isolato può essere aggirato caricando il modulo `os` tramite la classe `_frozen_importlib.BuiltinImporter`, consentendo a un attaccante di eseguire comandi arbitrari sul server. Il problema è stato risolto nella versione 9.10.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

@huntr Ai

Prenotare

22/07/2024

Divulgazione

20/03/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00435

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!