漏洞标题
在streamlit geospatial的pages/1_📷_Timelapse.py中,MODIS海洋色度SMI选项的vis_params存在远程代码执行漏洞。
漏洞描述信息
streamlit-geospatial是一个用于地理空间应用的streamlit多页面应用。在提交c4f81d9616d40c60584e36abb15300853a66e489之前,`pages/1_📷_Timelapse.py`的第1254行的`vis_params`变量接收用户输入,该输入后来在第1345行的`eval()`函数中使用,导致远程代码执行。提交c4f81d9616d40c60584e36abb15300853a66e489修复了这个问题。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
对生成代码的控制不恰当(代码注入)
漏洞标题
Remote code execution in streamlit geospatial in pages/1_📷_Timelapse.py MODIS Ocean Color SMI option vis_params
漏洞描述信息
streamlit-geospatial is a streamlit multipage app for geospatial applications. Prior to commit c4f81d9616d40c60584e36abb15300853a66e489, the `vis_params` variable on line 1254 in `pages/1_📷_Timelapse.py` takes user input, which is later used in the `eval()` function on line 1345, leading to remote code execution. Commit c4f81d9616d40c60584e36abb15300853a66e489 fixes this issue.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
输入验证不恰当
漏洞标题
streamlit-geospatial 安全漏洞
漏洞描述信息
streamlit-geospatial是一个适用于地理空间应用的 streamlit 多页应用程序。 streamlit-geospatial 存在安全漏洞,该漏洞源于 pages/1_??_Timelapse.py 中的 vis_params 变量接受用户输入,该输入随后在 eval 函数中使用,从而导致远程代码执行。
CVSS信息
N/A
漏洞类别
其他