CVE-2020-1953

Apache Commons Configuration, versões 2.2 a 2.6

O problema está relacionado à análise de arquivos YAML por uma biblioteca de terceiros utilizada no Apache Commons Configuration. Por padrão, essa biblioteca permite a instanciação de classes se o YAML incluir instruções especiais. Isso pode levar à execução de código fora do controle do aplicativo host se um arquivo YAML for carregado de uma fonte não confiável. A vulnerabilidade também está associada à validação insuficiente de entradas, o que poderia permitir que um invasor remoto executasse código arbitrário.

Para as versões 2.2 a 2.6 do Apache Commons Configuration, considere desativar o carregamento de arquivos YAML de fontes não confiáveis como uma solução temporária até que um patch esteja disponível. Restrinja o acesso à funcionalidade de análise de YAML para minimizar o risco de exploração. Evite usar a biblioteca de análise de YAML com entradas não confiáveis até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.