安全公告/【CVE-2022-1471】

基本信息

漏洞描述

SnakeYAML 是一个将 YAML 文件与 Java 对象相互转换的开源代码库。 SnakeYAML 存在安全漏洞，该漏洞源于其Constructor()类由于没有对反序列化的类型进行限制，导致攻击者提供恶意yaml内容可以实现远程代码执行。

修复方式

将 snakeyaml 升级到 2.0 及以上版本，下载地址：https://mvnrepository.com/artifact/org.yaml/snakeyaml

漏洞判定

版本比对检测原理：检查当前系统中snakeyaml版本是否在受影响版本内|版本比对检测结果：- snakeyaml
  当前安装版本：1.28
  应用相关信息：
  - 进程PID：20474
  - 应用路径：/home/ylgh/tools/apache-tomcat-8.5.65/webapps/dev-api/WEB-INF/lib/snakeyaml-1.28.jar
该主机存在此漏洞

参考

CVE-2022-1471，，CWE-502，CWE-20，CNNVD-202212-1820