Docling Core (или docling-core) - это библиотека, которая определяет типы основных данных и преобразования в приложении для обработки докум…
Docling Core (или docling-core) - это библиотека, которая определяет типы основных данных и преобразования в приложении для обработки документов Docling. Уязвимость удаленного выполнения кода (RCE), связанная с PyYAML, а именно CVE-2020-14343, подвергается воздействию в docling-core, начиная с версии 2.21.0 и до версии 2.48.4, особенно только в том случае, если приложение использует pyyaml до версии 5.4 и вызывает `dcling_core.types.doc.doc.Doc.Doc.Doc.load_from_yaml()` Уязвимость была исправлена в docling-core версии 2.48.4. Исправление смягчает проблему, переключая `PyYAML` дезериаизацию с `yaml.FullLoader` на `PyyAML` deserialization, гарантируя, что ненадежные данные не могут инициировать исполнение кода. Пользователи, которые не могут немедленно обновить docling-core, могут в качестве альтернативы убедиться, что установленная версия PyYAML составляет 5,4 или более.
Продукт десериализует ненадёжные данные без достаточной проверки того, что полученные данные окажутся допустимыми.
https://cwe.mitre.org/data/definitions/502.html →Открыть в коллекции CWE →Злоумышленник пытается эксплуатировать приложение путём внедрения дополнительного вредоносного содержимого в процессе обработки сериализованных объектов. Разработчики используют сериализацию для преобразования данных или состояния в статичный двоичный формат с целью сохранения на диск или передачи по сети. Впоследствии эти объекты десериализуются для восстановления данных/состояния. Внедряя некорректный объект в уязвимое приложение, злоумышленник потенциально может скомпрометировать его, манипулируя процессом десериализации. Это может привести к ряду нежелательных последствий, включая удалённое выполнение кода.
https://capec.mitre.org/data/definitions/586.html →Открыть в коллекции CAPEC →