PT-2021-22459 · Parlai · Parlai
Publicado
2021-09-10
·
Atualizado
2021-09-23
·
CVE-2021-39207
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do ParlAI anteriores à v1.1.0
Descrição
O problema é causado por uma lógica de desserialização YAML insegura, que permite que um invasor com capacidade de modificar arquivos de configuração YAML locais forneça entradas maliciosas, resultando em execução remota de código ou riscos semelhantes. Isso ocorre porque o pacote é vulnerável a um ataque de desserialização YAML causado por carregamento inseguro, levando à execução arbitrária de código.
Recomendações
Para versões anteriores à v1.1.0, atualize para a versão v1.1.0 ou posterior para corrigir o problema.
Como solução alternativa temporária para versões nas quais a atualização não é possível, altere o Loader utilizado para SafeLoader a fim de evitar carregamento inseguro.
Substitua a deserialização YAML por chamadas equivalentes de safe load para corrigir o problema.
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Parlai