nvd
Kaml_project
Уязвимости
2
Эксплуатируемые
0
Критический
0
Высокий
1
Топ продуктов
Топ уязвимостей
CVE-2023-28118kaml обеспечивает поддержку YAML для kotlinx.serialization. До версии 0.53.0 приложения, использующие kaml для разбора ненадежного ввода, содержащего якоря и псевдонимы, могут потреблять чрезмерный объем памяти и аварийно завершаться. Версия 0.53.0 и более поздние версии по умолчанию отказываются разбирать YAML-документы, содержащие якоря и псевдонимы. Известных обходных путей нет.
CVE-2021-39194kaml - это реализация формата YAML с открытым исходным кодом с поддержкой kotlinx.serialization. В затронутых версиях злоумышленники, которые могут предоставить произвольный ввод YAML в приложение, использующее kaml, могут вызвать бесконечный цикл приложения во время анализа ввода. Это может привести к нехватке ресурсов и отказу в обслуживании. Это влияет только на приложения, которые используют полиморфную сериализацию со стилем полиморфизма с тегами по умолчанию. Приложения, использующие стиль полиморфизма свойств, не подвержены уязвимости. Ввод YAML для полиморфного типа, который предоставил тег, но не предоставил значение для объекта, вызовет проблему. Версия 0.35.3 или более поздняя содержит исправление для этой проблемы.