Masatoshi Yoshizawa

**Nome do software vulnerável e versões afetadas: Versões do Sockeye anteriores à 2.3.24 Descrição: O Sockeye é uma estrutura de código aberto do tipo sequência-para-sequência para tradução automática neural, desenvolvida com base no PyTorch. Ele utiliza YAML para armazenar configurações de modelos e dados em disco. O problema decorre do carregamento inseguro de YAML em versões anteriores à 2.3.24, o que pode executar código arbitrário incorporado nos arquivos de configuração. Um invasor pode adicionar código malicioso ao arquivo de configuração de um modelo treinado e tentar convencer os usuários a baixá-lo e executá-lo. Se os usuários executarem o modelo, o código incorporado será executado localmente. Recomendações: Para versões anteriores à 2.3.24, atualize para a versão 2.3.24 ou superior para corrigir o problema. Como solução alternativa temporária, considere evitar o uso de arquivos de configuração de fontes não confiáveis e restringir a execução de modelos com arquivos de configuração potencialmente maliciosos.

**Nome do software vulnerável e versões afetadas** Versões do Nameko anteriores à 2.14.0 Versões do Nameko de v3.0.0rc0 a v3.0.0rc9 **Descrição** A vulnerabilidade permite a execução de código arbitrário durante a desserialização do arquivo de configuração. Isso pode ser feito induzindo o Nameko a desserializar um arquivo de configuração YAML malicioso. Por exemplo, um arquivo malicious.yaml pode conter código que execute comandos do sistema, como ` import (‘os’).system(‘cat /etc/passwd’)`. Isso pode levar à execução de comandos arbitrários do sistema. **Recomendações** Para versões anteriores à 2.14.0, atualize para a versão 2.14.0 ou posterior para resolver o problema. Para as versões v3.0.0rc0 a v3.0.0rc9, atualize para a v3.0.0rc10 ou posterior para resolver o problema. Como solução alternativa temporária, considere usar apenas arquivos de configuração em que você confia para evitar a exploração.