一、 漏洞 CVE-2024-41112 基础信息
漏洞标题
在streamlit geospatial的pages/1_📷_Timelapse.py中执行远程代码。任何Earth Engine ImageCollection选项调色板。
来源:AIGC 神龙大模型
漏洞描述信息
streamlit-geospatial是一个用于地理空间应用的streamlit多页应用程序。在提交c4f81d9616d40c60584e36abb15300853a66e489之前,`pages/1_📷_Timelapse.py`中的palette变量接收用户输入,之后在第380行的`eval()`函数中使用,导致远程代码执行。提交c4f81d9616d40c60584e36abb15300853a66e489修复了这个问题。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
对生成代码的控制不恰当(代码注入)
来源:AIGC 神龙大模型
漏洞标题
Remote code execution in streamlit geospatial in pages/1_📷_Timelapse.py Any Earth Engine ImageCollection option palette
来源:美国国家漏洞数据库 NVD
漏洞描述信息
streamlit-geospatial is a streamlit multipage app for geospatial applications. Prior to commit c4f81d9616d40c60584e36abb15300853a66e489, the palette variable in `pages/1_📷_Timelapse.py` takes user input, which is later used in the `eval()` function on line 380, leading to remote code execution. Commit c4f81d9616d40c60584e36abb15300853a66e489 fixes this issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
输入验证不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
streamlit-geospatial 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
streamlit-geospatial是一个适用于地理空间应用的 streamlit 多页应用程序。 streamlit-geospatial 存在安全漏洞,该漏洞源于 pages/1_??_Timelapse.py 中的 palette 变量接受用户输入,该输入随后在 eval 函数中使用,从而导致远程代码执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-41112 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-41112 的情报信息