PT-2021-22449 · Kaml · Kaml
Ukarlsson
·
Publicado
2021-09-07
·
Atualizado
2021-09-14
·
CVE-2021-39194
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L |
Nome do software vulnerável e versões afetadas
Versões do kaml anteriores à 0.35.3
Descrição
Invasores capazes de fornecer entradas YAML arbitrárias a um aplicativo que utilize o kaml poderiam fazer com que o aplicativo entrasse em um loop infinito durante a análise da entrada. Isso poderia resultar em esgotamento de recursos e negação de serviço. Isso afeta apenas aplicativos que utilizam serialização polimórfica com o estilo padrão de polimorfismo com tags. Aplicativos que utilizam o estilo de polimorfismo de propriedade não são afetados. Uma entrada YAML para um tipo polimórfico que forneça uma tag, mas nenhum valor para o objeto, acionaria o problema; por exemplo,
!<x>.Recomendações
Para versões anteriores à 0.35.3, atualize para a versão 0.35.3 ou posterior para resolver o problema. Como solução temporária, considere evitar o uso de serialização polimórfica com o estilo de polimorfismo marcado padrão até que um patch seja aplicado. Restrinja o acesso à entrada YAML para minimizar o risco de exploração.
Exploit
Correção
Infinite Loop
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Kaml