CVE-2021-43811

**Nome do software vulnerável e versões afetadas:

Versões do Sockeye anteriores à 2.3.24

Descrição:

O Sockeye é uma estrutura de código aberto do tipo sequência-para-sequência para tradução automática neural, desenvolvida com base no PyTorch. Ele utiliza YAML para armazenar configurações de modelos e dados em disco. O problema decorre do carregamento inseguro de YAML em versões anteriores à 2.3.24, o que pode executar código arbitrário incorporado nos arquivos de configuração. Um invasor pode adicionar código malicioso ao arquivo de configuração de um modelo treinado e tentar convencer os usuários a baixá-lo e executá-lo. Se os usuários executarem o modelo, o código incorporado será executado localmente.

Recomendações:

Para versões anteriores à 2.3.24, atualize para a versão 2.3.24 ou superior para corrigir o problema. Como solução alternativa temporária, considere evitar o uso de arquivos de configuração de fontes não confiáveis e restringir a execução de modelos com arquivos de configuração potencialmente maliciosos.