CVE-2025-50460
KrytyczneStreszczenie
W projekcie ms-swift w wersji 3.3.0 występuje podatność na zdalne wykonanie kodu (RCE) spowodowana niebezpieczną deserializacją w pliku tests/run.py przy użyciu yaml.load() z biblioteki PyYAML (wersje = 5.3.1). Atakujący, kontrolując zawartość pliku konfiguracyjnego YAML przekazywanego do parametru --run_config, może wykonać dowolny kod podczas deserializacji.
Ocena ryzyka
Podatność ta może prowadzić do pełnego kompromitacji systemu, umożliwiając wykonanie dowolnych poleceń Pythona, takich jak os.system().
Rekomendacja
Zaleca się aktualizację biblioteki PyYAML do wersji 5.4 lub wyższej oraz użycie yaml.safe_load() w celu złagodzenia problemu.
Oryginalny opis (angielski, źródło NVD)
A remote code execution (RCE) vulnerability exists in the ms-swift project version 3.3.0 due to unsafe deserialization in tests/run.py using yaml.load() from the PyYAML library (versions = 5.3.1). If an attacker can control the content of the YAML configuration file passed to the --run_config parameter, arbitrary code can be executed during deserialization. This can lead to full system compromise. The vulnerability is triggered when a malicious YAML file is loaded, allowing the execution of arbitrary Python commands such as os.system(). It is recommended to upgrade PyYAML to version 5.4 or higher, and to use yaml.safe_load() to mitigate the issue.

