Katalog CVE

CVE-2025-50460

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W projekcie ms-swift w wersji 3.3.0 występuje podatność na zdalne wykonanie kodu (RCE) spowodowana niebezpieczną deserializacją w pliku tests/run.py przy użyciu yaml.load() z biblioteki PyYAML (wersje = 5.3.1). Atakujący, kontrolując zawartość pliku konfiguracyjnego YAML przekazywanego do parametru --run_config, może wykonać dowolny kod podczas deserializacji.

Ocena ryzyka

Podatność ta może prowadzić do pełnego kompromitacji systemu, umożliwiając wykonanie dowolnych poleceń Pythona, takich jak os.system().

Rekomendacja

Zaleca się aktualizację biblioteki PyYAML do wersji 5.4 lub wyższej oraz użycie yaml.safe_load() w celu złagodzenia problemu.

Oryginalny opis (angielski, źródło NVD)

A remote code execution (RCE) vulnerability exists in the ms-swift project version 3.3.0 due to unsafe deserialization in tests/run.py using yaml.load() from the PyYAML library (versions = 5.3.1). If an attacker can control the content of the YAML configuration file passed to the --run_config parameter, arbitrary code can be executed during deserialization. This can lead to full system compromise. The vulnerability is triggered when a malicious YAML file is loaded, allowing the execution of arbitrary Python commands such as os.system(). It is recommended to upgrade PyYAML to version 5.4 or higher, and to use yaml.safe_load() to mitigate the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS