PT-2022-6917 · Snakeyaml+3 · Snakeyaml+3

Publicado

2022-09-05

·

Atualizado

2026-05-18

·

CVE-2022-38752

CVSS v2.0

6.8

Média

VetorAV:N/AC:L/Au:S/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
snakeYAML (versões afetadas não especificadas)
Descrição
O problema está relacionado à análise de arquivos YAML não confiáveis, o que pode levar a ataques de negação de serviço. Se o analisador estiver processando dados fornecidos pelo usuário, um invasor pode enviar conteúdo que provoque a falha do analisador por estouro de pilha. Isso pode ser explorado por um invasor remoto para causar uma interrupção no serviço.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade. Como solução temporária, considere restringir o uso do snakeYAML para analisar arquivos YAML não confiáveis, a fim de minimizar o risco de exploração. Evite usar o snakeYAML para analisar entradas fornecidas pelo usuário até que o problema seja resolvido.

DoS

Stack Overflow

Memory Corruption

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-121CWE-787

Identificadores relacionados

BDU:2023-05610
CLEANSTART-2026-GH89210
CVE-2022-38752
GHSA-9W3M-GQGF-C4P9
OESA-2023-1162
OESA-2023-1163
OESA-2023-1164
OESA-2023-1165
OPENSUSE-SU-2022_3397-1
OPENSUSE-SU-2024:12308-1
RHSA-2023:1512
RHSA-2023:1513
RHSA-2023:1514
RHSA-2023:2097
RHSA-2023:2705
RHSA-2023:2706
RHSA-2023:2707
RLSA-2023:2097
SUSE-SU-2022:3397-1
SUSE-SU-2022:3560-1

Produtos afetados

Debian
Rocky Linux
Suse
Snakeyaml