CVE-2024-6982

Nome do Software Vulnerável e Versões Afetadas parisneo/lollms versão 9.8

Descrição Existe uma vulnerabilidade de execução remota de código na função Calculate devido ao uso da função eval() do Python para avaliar expressões matemáticas dentro de uma sandbox Python. Esta sandbox, que desabilita builtins e permite apenas funções do módulo math, pode ser contornada carregando o módulo os utilizando a classe frozen importlib.BuiltinImporter. Isso permite que um atacante execute comandos arbitrários no servidor.

Recomendações Para o parisneo/lollms versão 9.8, atualize para a versão 9.10 para resolver o problema. Como solução temporária, considere desabilitar a função Calculate até que uma correção esteja disponível. Restrinja o acesso ao módulo os para minimizar o risco de exploração. Evite usar a função eval() na função Calculate até que o problema seja resolvido.