CVE-2024-6982 in lollms
요약
\~에 의해 VulDB • 2026. 06. 24.
parisneo/lollms 버전 9.8의 Calculate 함수에서 원격 코드 실행 취약점이 존재합니다. 이 취약점은 `__builtins__`을 비활성화하고 `math` 모듈의 함수만 허용하는 Python 샌드박스 내에서 수학적 표현식을 평가하기 위해 Python의 `eval()` 함수를 사용함으로써 발생합니다. 공격자는 `_frozen_importlib.BuiltinImporter` 클래스를 사용하여 `os` 모듈을 로드하면 이 샌드박스를 우회할 수 있으며, 이를 통해 서버에서 임의의 명령어를 실행할 수 있습니다. 해당 문제는 버전 9.10에서 수정되었습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.