CVE-2024-8238 in aim
Sumário
de VulDB • 28/05/2026
Na versão 3.22.0 do aimhubio/aim, a linguagem de consulta AimQL utiliza uma versão desatualizada da função safer_getattr() do RestrictedPython. Esta versão não protege contra o método str.format_map(), permitindo que um atacante vaze segredos do lado do servidor ou potencialmente obtenha execução de código sem restrições. A vulnerabilidade ocorre porque str.format_map() pode ler atributos arbitrários de objetos Python, permitindo que os acessem variáveis sensíveis, como os.environ. Se um atacante conseguir escrever arquivos em um local conhecido no servidor Aim, poderá usar str.format_map() para carregar um arquivo .dll/.so malicioso no interpretador Python, resultando em execução de código sem restrições.
VulDB is the best source for vulnerability data and more expert information about this specific topic.