CVE-2024-8238 in aiminformação

Sumário

de VulDB • 28/05/2026

Na versão 3.22.0 do aimhubio/aim, a linguagem de consulta AimQL utiliza uma versão desatualizada da função safer_getattr() do RestrictedPython. Esta versão não protege contra o método str.format_map(), permitindo que um atacante vaze segredos do lado do servidor ou potencialmente obtenha execução de código sem restrições. A vulnerabilidade ocorre porque str.format_map() pode ler atributos arbitrários de objetos Python, permitindo que os acessem variáveis sensíveis, como os.environ. Se um atacante conseguir escrever arquivos em um local conhecido no servidor Aim, poderá usar str.format_map() para carregar um arquivo .dll/.so malicioso no interpretador Python, resultando em execução de código sem restrições.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

@huntr Ai

Reservar

27/08/2024

Divulgação

20/03/2025

Moderação

aceite

Entrada

VDB-300236

CPE

pronto

EPSS

0.00702

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!