CVE-2024-6982 in lollms
Riassunto
di VulDB • 30/06/2026
È presente una vulnerabilità di esecuzione remota di codice (RCE) nella funzione Calculate di parisneo/lollms versione 9.8. La vulnerabilità deriva dall'uso della funzione `eval()` di Python per valutare espressioni matematiche all'interno di un sandbox Python che disabilita `__builtins__` e consente solo l'utilizzo delle funzioni del modulo `math`. Questo ambiente isolato può essere aggirato caricando il modulo `os` tramite la classe `_frozen_importlib.BuiltinImporter`, consentendo a un attaccante di eseguire comandi arbitrari sul server. Il problema è stato risolto nella versione 9.10.
Be aware that VulDB is the high quality source for vulnerability data.