PT-2022-6915 · Snakeyaml+5 · Snakeyaml+5

Publicado

2022-09-05

·

Atualizado

2024-03-15

·

CVE-2022-38749

CVSS v2.0

6.8

Média

VetorAV:N/AC:L/Au:S/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
snakeYAML (versões afetadas não especificadas)
Descrição
O problema está relacionado a um ataque de Negação de Serviço (DOS) que pode ocorrer ao usar o snakeYAML para analisar arquivos YAML não confiáveis. Se o analisador estiver em execução com dados fornecidos pelo usuário, um invasor pode enviar conteúdo que cause a falha do analisador devido a um estouro de pilha. Isso pode ser explorado por um invasor remoto para causar uma interrupção no serviço.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

DoS

Stack Overflow

Memory Corruption

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-121CWE-787

Identificadores relacionados

BDU:2023-05608
CVE-2022-38749
DLA-3132-1
GHSA-C4R9-R8FH-9VJ2
OESA-2023-1162
OESA-2023-1163
OESA-2023-1164
OESA-2023-1165
OPENSUSE-SU-2022_3397-1
OPENSUSE-SU-2024:12308-1
RHSA-2023:1043
RHSA-2023:1044
RHSA-2023:1045
RHSA-2023:2097
RLSA-2023:2097
SUSE-SU-2022:3397-1
SUSE-SU-2022:3560-1
USN-5944-1

Produtos afetados

Astra Linux
Linuxmint
Rocky Linux
Suse
Ubuntu
Snakeyaml