Vulnérabilité dans PyYaml - La librairie YAML de Python

Date de publication : 29/09/2022

CVE-2020-1747[Score CVSS v3 : 9.8] : Une vulnérabilité a été découverte dans la librairie PyYAML. Un attaquant distant et non-authentifié peut potentiellement injecter du code arbitraire grâce à l'exploitation de cette vulnérabilité. Cette faille est due à un manque de vérification des fichiers YAML au sein de la méthode full_load et du chargeur de contenu FullLoader dans la libraire PyYAML.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Exécution de code arbitraire

Criticité

Score CVSS v3 : 9.8

Existence d’un code d’exploitation

Il n’existe pas de code d'exploitation connu à ce jour.

Composants vulnérables

Toutes les applications utilisant une version de PyYAML inférieur à 5.3.1 pour traiter des fichiers YAML de sources non-sûres sont vulnérables.

CVE

CVE-2020-1747

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour PyYAML vers la version 5.3.1 ou supérieure.

Solution de contournement

Il n’existe pas de solution de contournement connue à ce jour.

Liens

Bulletin de sécurité d'IBM