GHSA-4qhr-q7wf-94xp

Опубликовано: 24 мая 2022

Источник: github

Github: Прошло ревью

CVSS3: 9.8

Описание

Deserialization of Untrusted Data in JYaml

JYaml through 1.3 allows remote code execution during deserialization of a malicious payload through the load() function. NOTE: this is a discontinued product.

Ссылки

https://nvd.nist.gov/vuln/detail/CVE-2020-8441
https://gist.github.com/j0lt-github/f5141abcacae63d434ecae211422153a
https://github.com/mbechler/marshalsec
https://github.com/mbechler/marshalsec/blob/master/marshalsec.pdf
https://security.netapp.com/advisory/ntap-20200313-0001
https://sourceforge.net/p/jyaml/bugs

Пакеты

Наименование

org.jyaml:jyaml

maven

Затронутые версииВерсия исправления

<= 1.3

Отсутствует

EPSS

Процентиль: 92%

0.0758

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2020-8441

Дефекты

CWE-502

Связанные уязвимости

CVE-2020-8441

CVSS3: 9.8

nvd

почти 6 лет назад

JYaml through 1.3 allows remote code execution during deserialization of a malicious payload through the load() function. NOTE: this is a discontinued product.

EPSS

Процентиль: 92%

0.0758

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2020-8441

Дефекты

CWE-502