Snakeyaml
Уязвимости
8
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.99615
Распределение по критичности
Критический
1
Высокий
2
Средний
5
Низкий
0
Затронутые диапазоны версий
< 1.26< 1.31< 1.32< 2.0
Также сопоставлено как (исходные строки): snakeyaml
Топ уязвимостей
CVE-2022-1471Класс Constructor() библиотеки SnakeYaml не ограничивает типы, которые могут быть инициированы во время десериализации. Десериализация содержимого yaml, предоставленного злоумышленником, может привести к удаленному выполнению кода. Рекомендуется использовать SafeConsturctor библиотеки SnakeYaml при парсинге недоверенного контента, чтобы ограничить десериализацию. Рекомендуется обновиться до версии 2.0 и выше.
CVE-2017-18640Функция Alias в SnakeYAML до версии 1.26 позволяет расширение сущностей во время операции загрузки, что является проблемой, связанной с CVE-2003-1564.
CVE-2022-25857Пакет org.yaml:snakeyaml от 0 и до 1.31 уязвим для Denial of Service (DoS) из-за отсутствия ограничения вложенной глубины для коллекций.
CVE-2022-41854Те, кто использует Snakeyaml для анализа ненадежных YAML-файлов, могут быть уязвимы для атак типа "отказ в обслуживании" (DOS). Если анализатор работает с предоставленными пользователем входными данными, злоумышленник может предоставить контент, который приведет к сбою анализатора из-за переполнения стека. Этот эффект может поддерживать атаку типа "отказ в обслуживании".
CVE-2022-38752Использование snakeYAML для анализа ненадежных YAML-файлов может быть уязвимо для атак типа «отказ в обслуживании» (DOS). Если синтаксический анализатор запущен для ввода, предоставленного пользователем, злоумышленник может предоставить контент, который приведет к сбою синтаксического анализатора из-за переполнения стека.
CVE-2022-38751Использование snakeYAML для анализа ненадежных YAML-файлов может быть уязвимо для атак типа «отказ в обслуживании» (DOS). Если синтаксический анализатор запущен для ввода, предоставленного пользователем, злоумышленник может предоставить контент, который приведет к сбою синтаксического анализатора из-за переполнения стека.
CVE-2022-38749Использование snakeYAML для анализа ненадежных YAML-файлов может быть уязвимо для атак типа «отказ в обслуживании» (DOS). Если синтаксический анализатор запущен для ввода, предоставленного пользователем, злоумышленник может предоставить контент, который приведет к сбою синтаксического анализатора из-за переполнения стека.
CVE-2022-38750Использование snakeYAML для анализа ненадежных YAML-файлов может быть уязвимо для атак типа «отказ в обслуживании» (DOS). Если синтаксический анализатор запущен для ввода, предоставленного пользователем, злоумышленник может предоставить контент, который приведет к сбою синтаксического анализатора из-за переполнения стека.