CVE-2024-6982 in lollms정보

요약

\~에 의해 VulDB • 2026. 06. 24.

parisneo/lollms 버전 9.8의 Calculate 함수에서 원격 코드 실행 취약점이 존재합니다. 이 취약점은 `__builtins__`을 비활성화하고 `math` 모듈의 함수만 허용하는 Python 샌드박스 내에서 수학적 표현식을 평가하기 위해 Python의 `eval()` 함수를 사용함으로써 발생합니다. 공격자는 `_frozen_importlib.BuiltinImporter` 클래스를 사용하여 `os` 모듈을 로드하면 이 샌드박스를 우회할 수 있으며, 이를 통해 서버에서 임의의 명령어를 실행할 수 있습니다. 해당 문제는 버전 9.10에서 수정되었습니다.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

책임이 있는

@huntr Ai

예약하다

2024. 07. 22.

모더레이션

수락

항목

VDB-300234

EPSS

0.00435

출처

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!