PT-2021-15661 · Parlai · Parlai
Anon-Artist
·
Publicado
2021-09-10
·
Atualizado
2021-09-24
·
CVE-2021-24040
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Versões do ParlAI anteriores à 1.1.0
Descrição:
Devido ao uso de uma lógica de desserialização YAML insegura, um invasor com capacidade de modificar arquivos de configuração YAML locais poderia fornecer entradas maliciosas, resultando na execução remota de código ou riscos semelhantes. Esta falha permite que invasores explorem a vulnerabilidade modificando arquivos de configuração YAML locais.
Recomendações:
Para versões anteriores à 1.1.0, atualize para a v1.1.0 ou posterior para corrigir o problema.
Como solução alternativa temporária, substitua a deserialização YAML por chamadas safe load equivalentes.
Considere alterar o Loader utilizado para SafeLoader a fim de minimizar o risco de exploração.
Exploit
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Parlai